Redacción EC

Al investigar a Turla, un famoso grupo de ruso, los investigadores de Kaspersky Lab descubrieron cómo este evade la detección de su actividad y de su ubicación física. Como solución para el anonimato, el grupo utiliza las debilidades de seguridad en las redes de globales.

Turla es un grupo de ciberespionaje sofisticado que ha estado activo durante más de ocho años. Los atacantes que están detrás de esta organización criminal han infectado a cientos de computadoras en más de 45 países, entre ellos Rusia, China, Estados Unidos y, en Latinoamérica, Brasil, México y Ecuador.

En la etapa inicial, la puerta trasera Epic Turla realiza perfiles de las víctimas.  Luego, solo para los objetivos con los perfiles más altos, los atacantes utilizan un amplio mecanismo de comunicación basado en satélites en las etapas avanzadas del ataque, lo cual les ayuda a ocultar su rastro.

Las comunicaciones por satélite son conocidas principalmente como herramientas para la transmisión de programas de televisión y para comunicaciones seguras; sin embargo, también se utilizan para tener acceso a Internet. Estos servicios se utilizan principalmente en lugares remotos donde otros tipos de acceso a la red son inestables y lentos o incluso no existen.

Uno de los tipos más extendidos y económicos de conexión a Internet por satélite es lo que se conoce como enlaces de flujo único descendente. En este caso, una computadora se comunican mediante las líneas convencionales (una conexión alámbrica o GPRS), de manera que todo el tráfico de ingreso a la red viene del satélite. E

sta tecnología permite al usuario obtener una velocidad de descarga relativamente rápida. Sin embargo, tiene una gran desventaja: todo el tráfico de descarga regresa a la PC sin ser cifrado. 

Entonces, cualquier usuario malicioso con el equipo y software adecuados podría simplemente interceptar el tráfico y obtener acceso a todos los datos que los usuarios de estos enlaces están descargando. 

(Foto: Kaspersky Lab)

El grupo Turla aprovecha esta debilidad  de una forma diferente: utilizándola para esconder la ubicación de sus servidores de comando y control (C&C), una de las partes más importantes de la infraestructura maliciosa.

Este servicio es en esencia una "base" para el malware implantado en las máquinas seleccionadas.  El descubrimiento de la ubicación de dicho servidor puede conducir a los investigadores a descubrir detalles acerca del actor que se encuentra detrás de la operación, de manera que así es como el grupo Turla está evitando los siguiente riesgos: 

1. El grupo primero "escucha" la descarga del satélite para identificar  las direcciones IP activas de usuarios de Internet por satélite que se encuentran en línea en ese momento. 

2. Tras ello, eligen una dirección de IP para enmascarar un servidor C&C, sin el conocimiento del usuario legítimo. 

3. Los equipos infectados por Turla son entonces instruidos para que retiren datos hacia las direcciones IP seleccionadas de usuarios regulares de Internet por satélite. Los datos viajan a través de líneas convencionales a telepuertos del proveedor de Internet por satélite, luego suben al satélite, y finalmente bajan del satélite a los usuarios con las IP elegidas. 

(Foto: Kaspersky Lab)

Curiosamente, el usuario legítimo cuya dirección IP ha sido utilizada por los atacantes para recibir los datos de la máquina infectada, también recibirá estos paquetes de datos pero difícilmente los notará. 

Otro detalle interesante de las tácticas del actor de Turla es que tienden a utilizar proveedores de conexión a Internet por satélite localizados en países del Medio Oriente y Africanos. En su investigación, los expertos de Kaspersky Lab han descubierto que este grupo utiliza números IP de proveedores localizados en países como Congo, Líbano, Libia, Nigeria, Somalia o los Emiratos Árabes Unidos. 

La cobertura de estas trasmisiones de satélite que utilizan operadores en estos países normalmente no cubre territorios europeos ni norteamericanos, por lo que es muy difícil para la mayoría de los investigadores de seguridad rastrear tales ataques.  

"Ellos (el grupo Turla) son capaces de alcanzar el máximo nivel de anonimato mediante la explotación de una tecnología ampliamente utilizada como Internet por satélite de una vía", dijo Stefan Tanase, investigador senior de Seguridad de Kaspersky Lab.

"Esto hace casi imposible rastrear al atacante. Debido a que el uso de estos métodos son cada vez más comunes, es importante que los administradores de sistemas implementen las estrategias correctas de defensa para mitigar tales ataques".