{"id":6171,"date":"2015-09-09T14:55:07","date_gmt":"2015-09-09T14:55:07","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=6171"},"modified":"2020-02-26T09:19:51","modified_gmt":"2020-02-26T15:19:51","slug":"turla-apt-exploiting-satellites","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/6171\/","title":{"rendered":"Ciber-espias rusos secuestran sat\u00e9lites"},"content":{"rendered":"<p>El grupo Turla APT, tambi\u00e9n conocido como Snake y Uroboros, es uno de los actores m\u00e1s avanzados en amenazas del mundo. Este grupo de espionaje cibern\u00e9tico ha estado activo durante m\u00e1s de 8 a\u00f1os, \u00a0pero poco se sab\u00eda sobre sus operaciones has que publicamos nuestra investigaci\u00f3n <a href=\"https:\/\/securelist.com\/analysis\/publications\/65545\/the-epic-turla-operation\/\" target=\"_blank\" rel=\"noopener noreferrer\">Epic sobre Turla<\/a>.<\/p>\n<p>En resumen, esta investigaci\u00f3n inclu\u00eda ejemplos muy claros sobre artefactos del lenguaje, demostrando que esos actores del grupo Turla hablaban ruso. Estas personas utilizaban el codepage 1251, el cual, se utiliza com\u00fanmente para representar caracteres cir\u00edlicos y palabras como \u2018Zagruzchik\u2019, que significan, \u201cgestor de arranque\u201d en ruso.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/Securelist?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Securelist<\/a> shares new research on the initial stages of the cyber-espionage campaign Turla AKA Snake or Uroburos. <a href=\"http:\/\/t.co\/KvHD7nOEfa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/KvHD7nOEfa<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/497407080354299904?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 7, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Hay dos buenas razones para esto. En primer lugar, estos servidores se utilizan para controlar todas las operaciones. Si pudieras deshabilitarlas, podr\u00edas perturbar o incluso interrumpir todas las campa\u00f1as cibern\u00e9ticas. En segundo lugar, <a href=\"https:\/\/securelist.com\/blog\/research\/72081\/satellite-turla-apt-command-and-control-in-the-sky\/\" target=\"_blank\" rel=\"noopener noreferrer\">los servidores C&amp;C se pueden utilizar para llegar hasta las localizaciones f\u00edsicas de los atacantes<\/a>.<\/p>\n<p>Es por eso que estos grupos de amenazas siempre est\u00e1n tratando de ocultar su C&amp;C en lo m\u00e1s profundo. El grupo Turla ha encontrado una manera muy eficaz de hacerlo: ellos ocultan las IP\u2019s de servidores \u201cen el cielo\u201d.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Epic Turla:massive <a href=\"https:\/\/twitter.com\/hashtag\/cyberespionage?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cyberespionage<\/a> operation penetrates EU\/Mideast spy agencies via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a> <a href=\"http:\/\/t.co\/vmWvteVmq1\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/vmWvteVmq1<\/a> <a href=\"http:\/\/t.co\/1wuNL7SoFn\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/1wuNL7SoFn<\/a><\/p>\n<p>\u2014 Adolfo Hern\u00e1ndez (@Adolfo_Hdez) <a href=\"https:\/\/twitter.com\/Adolfo_Hdez\/status\/497634453666406400?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 8, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Uno de los tipos de conexiones a Internet v\u00eda sat\u00e9lite m\u00e1s comunes y baratos son las conexiones solo de flujo descendente. En este caso, los datos salientes desde un PC son transportados mediante l\u00edneas convencionales de Internet, cable o m\u00f3vil, mientras que todo el tr\u00e1fico entrante proviene del sat\u00e9lite.<\/p>\n<p>La peculiaridad de esta tecnolog\u00eda es que todas las descargas del sat\u00e9lite al PC est\u00e1n sin codificar. En pocas palabras, cualquiera puede interceptarlo. El grupo Turla utiliza este defecto de manera interesante: para ocultar su propio tr\u00e1fico de C&amp;C.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Ciber-espias rusos secuestran sat\u00e9lites. #Turla<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FG2f6&amp;text=Ciber-espias+rusos+secuestran+sat%C3%A9lites.+%23Turla\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Lo que hacen es lo siguiente:<\/p>\n<ol>\n<li>Escuchan todas las descargas v\u00eda sat\u00e9lite identificando las direcciones IP activas de usuarios que est\u00e1n en l\u00ednea en ese momento.<\/li>\n<li>Eligen un n\u00famero de direcciones IP actualmente activas y las utilizan para enmascarar un servidor C&amp;C sin el conocimiento del usuario leg\u00edtimo.<\/li>\n<li>Los equipos infectados por Turla reciben instrucciones de enviar todos los datos a las direcciones IP elegidas. Los datos viajan a trav\u00e9s de l\u00edneas convencionales al sat\u00e9lite y finalmente desde el sat\u00e9lite a los usuarios elegidos mediante su direcciones IP\u2019s.<\/li>\n<li>Estos datos son depositados en los ordenadores del usuario como basura, mientras que los atacantes lo descargan desde conexiones de flujo descendente v\u00eda sat\u00e9lite.<\/li>\n<\/ol>\n<p>Como el flujo descendente v\u00eda sat\u00e9lite cubre grandes \u00e1reas, es imposible rastrear donde se encuentran exactamente los actores de amenazas. Para hacer este juego del gato y el rat\u00f3n incluso m\u00e1s dif\u00edcil, el grupo Turla tiende a explotar proveedores de Internet v\u00eda sat\u00e9lite ubicados en Oriente Medio y los pa\u00edses africanos como el Congo, L\u00edbano, Libia, N\u00edger, Nigeria, Somalia o los Emiratos \u00c1rabes Unidos.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2015\/09\/05201243\/turla_map_of_satellites_.png\"><img decoding=\"async\" class=\"aligncenter size-large wp-image-6173\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2015\/09\/05201243\/turla_map_of_satellites_-1024x841.png\" alt=\"turla_map_of_satellites_\" width=\"640\"><\/a><\/p>\n<p>Las se\u00f1ales de sat\u00e9lites que son utilizados por los operadores en estos pa\u00edses generalmente no cubren los territorios europeos y norteamericanos, por lo que es muy dif\u00edcil para la mayor\u00eda de los investigadores de seguridad investigar este tipo de ataques.<\/p>\n<p>Los atacantes de Turla han infectado cientos de ordenadores en m\u00e1s de 45 pa\u00edses, entre ellos Kazajst\u00e1n, Rusia, China, Vietnam y Estados Unidos. Las Organizaciones de inter\u00e9s para Turla incluyen desde instituciones gubernamentales y embajadas, hasta compa\u00f1\u00edas militares, de educaci\u00f3n, investigaci\u00f3n y empresas farmac\u00e9uticas.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2015\/09\/05201241\/Turla_Map_of_Targets1.png\"><img decoding=\"async\" class=\"aligncenter size-large wp-image-6174\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2015\/09\/05201241\/Turla_Map_of_Targets1-1024x642.png\" alt=\"Turla_Map_of_Targets1\" width=\"640\"><\/a><\/p>\n<p>Hasta aqu\u00ed las malas noticias. Las buenas noticias para nuestros usuarios es que los <a href=\"https:\/\/latam.kaspersky.com\/productos\/productos-para-el-hogar\" target=\"_blank\" rel=\"noopener noreferrer\">productos de Kaspersky Lab<\/a>, detectar\u00e1n y bloquear\u00e1n el malware utilizado por los actores de amenazas Turla.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de Kaspersky Lab descubrieron que ciber-esp\u00edas rusos del grupo Turla APT est\u00e1n secuestrando sat\u00e9lites para cubrir sus operaciones, ocultando servidores de comando y control.<\/p>\n","protected":false},"author":421,"featured_media":6172,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737],"tags":[638,122,2172,1282,2174,34,2173,2171],"class_list":{"0":"post-6171","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"tag-amenazas","11":"tag-apt","12":"tag-ciber-espias","13":"tag-investigacion","14":"tag-investigacion-epic","15":"tag-malware-2","16":"tag-satelites","17":"tag-turla"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/6171\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5062\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/3526\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5945\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/turla-apt-exploiting-satellites\/6210\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/turla-apt-exploiting-satellites\/6581\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/turla-apt-exploiting-satellites\/5662\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/turla-apt-exploiting-satellites\/6131\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/turla-apt-exploiting-satellites\/8845\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/turla-apt-exploiting-satellites\/9771\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6171","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=6171"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6171\/revisions"}],"predecessor-version":[{"id":17711,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6171\/revisions\/17711"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/6172"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=6171"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=6171"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=6171"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}