Ciber-espias rusos secuestran satélites

Investigadores de Kaspersky Lab descubrieron que ciber-espías rusos del grupo Turla APT están secuestrando satélites para cubrir sus operaciones, ocultando servidores de comando y control.

El grupo Turla APT, también conocido como Snake y Uroboros, es uno de los actores más avanzados en amenazas del mundo. Este grupo de espionaje cibernético ha estado activo durante más de 8 años,  pero poco se sabía sobre sus operaciones has que publicamos nuestra investigación Epic sobre Turla.

En resumen, esta investigación incluía ejemplos muy claros sobre artefactos del lenguaje, demostrando que esos actores del grupo Turla hablaban ruso. Estas personas utilizaban el codepage 1251, el cual, se utiliza comúnmente para representar caracteres cirílicos y palabras como ‘Zagruzchik’, que significan, “gestor de arranque” en ruso.

Hay dos buenas razones para esto. En primer lugar, estos servidores se utilizan para controlar todas las operaciones. Si pudieras deshabilitarlas, podrías perturbar o incluso interrumpir todas las campañas cibernéticas. En segundo lugar, los servidores C&C se pueden utilizar para llegar hasta las localizaciones físicas de los atacantes.

Es por eso que estos grupos de amenazas siempre están tratando de ocultar su C&C en lo más profundo. El grupo Turla ha encontrado una manera muy eficaz de hacerlo: ellos ocultan las IP’s de servidores “en el cielo”.

Uno de los tipos de conexiones a Internet vía satélite más comunes y baratos son las conexiones solo de flujo descendente. En este caso, los datos salientes desde un PC son transportados mediante líneas convencionales de Internet, cable o móvil, mientras que todo el tráfico entrante proviene del satélite.

La peculiaridad de esta tecnología es que todas las descargas del satélite al PC están sin codificar. En pocas palabras, cualquiera puede interceptarlo. El grupo Turla utiliza este defecto de manera interesante: para ocultar su propio tráfico de C&C.

Lo que hacen es lo siguiente:

  1. Escuchan todas las descargas vía satélite identificando las direcciones IP activas de usuarios que están en línea en ese momento.
  2. Eligen un número de direcciones IP actualmente activas y las utilizan para enmascarar un servidor C&C sin el conocimiento del usuario legítimo.
  3. Los equipos infectados por Turla reciben instrucciones de enviar todos los datos a las direcciones IP elegidas. Los datos viajan a través de líneas convencionales al satélite y finalmente desde el satélite a los usuarios elegidos mediante su direcciones IP’s.
  4. Estos datos son depositados en los ordenadores del usuario como basura, mientras que los atacantes lo descargan desde conexiones de flujo descendente vía satélite.

Como el flujo descendente vía satélite cubre grandes áreas, es imposible rastrear donde se encuentran exactamente los actores de amenazas. Para hacer este juego del gato y el ratón incluso más difícil, el grupo Turla tiende a explotar proveedores de Internet vía satélite ubicados en Oriente Medio y los países africanos como el Congo, Líbano, Libia, Níger, Nigeria, Somalia o los Emiratos Árabes Unidos.

turla_map_of_satellites_

Las señales de satélites que son utilizados por los operadores en estos países generalmente no cubren los territorios europeos y norteamericanos, por lo que es muy difícil para la mayoría de los investigadores de seguridad investigar este tipo de ataques.

Los atacantes de Turla han infectado cientos de ordenadores en más de 45 países, entre ellos Kazajstán, Rusia, China, Vietnam y Estados Unidos. Las Organizaciones de interés para Turla incluyen desde instituciones gubernamentales y embajadas, hasta compañías militares, de educación, investigación y empresas farmacéuticas.

Turla_Map_of_Targets1

Hasta aquí las malas noticias. Las buenas noticias para nuestros usuarios es que los productos de Kaspersky Lab, detectarán y bloquearán el malware utilizado por los actores de amenazas Turla.

 

Consejos