KASPERSKY LAB DESCUBRE QUE CAMPAÑA DE CIBERESPIONAJE DE HABLA RUSA APROVECHA SATÉLITES PARA LOGRAR EL ANONIMATO
Turla ha infectado a computadores en más
de 45 países incluyendo Brasil, Ecuador y México
Al investigar a Turla, el infame actor de ciberespionaje de habla rusa, los
investigadores de Kaspersky Lab descubrieron cómo este evade la detección de su
actividad y de su ubicación física. Como solución para el anonimato, el
grupo utiliza las debilidades de seguridad en las redes de satélites globales.
Turla es un grupo de ciberespionaje
sofisticado que ha estado activo durante más de ocho años. Los atacantes que
están detrás de Turla han infectado a cientos de computadores en más de 45
países, entre ellos Kazakstán, Rusia, China, Vietnam y los Estados Unidos.
Entre los países afectados a un nivel menor se encuentran Brasil, México y
Ecuador.
Los tipos de organizaciones que han sido
infectadas incluyen instituciones gubernamentales y embajadas, así como
entidades militares, de educación, investigación y farmacéuticas. En la etapa
inicial, la puerta trasera Epic
Turla realiza perfiles de las
víctimas. Luego, sólo para los objetivos con los perfiles más altos,
los atacantes utilizan un amplio mecanismo de comunicación basado en satélites
en las etapas avanzadas del ataque, lo cual les ayuda a ocultar su rastro.
Las comunicaciones por satélite son
conocidas principalmente como herramientas para la transmisión de programas de
televisión y para comunicaciones seguras; sin embargo, también se utilizan para
tener acceso a Internet. Estos servicios se utilizan principalmente en lugares
remotos donde otros tipos de acceso a Internet son inestables y lentos o
incluso no existen. Uno de los tipos más extendidos y económicos de conexión a
Internet por satélite es lo que se conoce como enlaces de flujo único descendente.
En este caso, las solicitudes de salida
de un computador de un usuario se comunican mediante las líneas convencionales
(una conexión alámbrica o GPRS), de manera que todo el tráfico de ingreso viene
del satélite. Esta tecnología permite al usuario obtener una velocidad de
descarga relativamente rápida. Sin embargo, tiene una gran desventaja: todo el
tráfico de descarga regresa a la PC sin ser cifrado. Cualquier usuario
malicioso con el equipo y software adecuado podría simplemente interceptar el
tráfico y obtener acceso a todos los datos que los usuarios de estos enlaces
están descargando.
El grupo Turla aprovecha esta
debilidad de una forma diferente: utilizándola para esconder la
ubicación de sus servidores de comando y control (C&C), una de las partes
más importantes de la infraestructura maliciosa.
El servidor C&C es en esencia una
"base" para el malware implantado en las máquinas
seleccionadas. El descubrimiento de la ubicación de dicho servidor
puede conducir a los investigadores a descubrir detalles acerca del actor que
se encuentra detrás de la operación, de manera que así es como el grupo Turla
está evitando estos riesgos:
1. El grupo primero "escucha"
la descarga del satélite para identificar las direcciones IP activas
de usuarios de Internet por satélite que se encuentran en línea en ese momento.
2. Seguido a esto, eligen una dirección
de IP para enmascarar un servidor C&C, sin el conocimiento del usuario
legítimo.
3. Los equipos infectados por Turla son
entonces instruidos para que retiren datos hacia las direcciones IP
seleccionadas de usuarios regulares de Internet por satélite. Los datos viajan
a través de líneas convencionales a telepuertos del proveedor de Internet por
satélite, luego suben al satélite, y finalmente bajan del satélite a los
usuarios con las IPs elegidas.
Curiosamente, el usuario legítimo cuya
dirección IP ha sido utilizada por los atacantes para recibir los datos de la
máquina infectada, también recibirá estos paquetes de datos pero difícilmente
los notará. Esto se debe a que los actores de Turla dan instrucciones a las
máquinas infectadas para que envíen los datos a puertos que, en la mayoría de
los casos, están cerrados por defecto. De manera que la PC de un usuario
legítimo soltará simplemente estos paquetes, mientras que el servidor C&C
de Turla, el cual mantiene esos puertos abiertos, recibirá y procesará los
datos extraídos.
Otro detalle interesante de las tácticas
del actor de Turla es que tienden a utilizar proveedores de conexión a Internet
por satélite localizados en países del Medio Oriente y Africanos. En su
investigación, los expertos de Kaspersky Lab han descubierto al el grupo Turla
utilizando IPs de proveedores localizados en países como Congo, Líbano, Libia,
Nigeria, Somalia o los Emiratos Árabes Unidos.
La cobertura de estas trasmisiones de satélite
que utilizan operadores en estos países normalmente no cubre territorios
europeos ni norteamericanos, por lo que es muy difícil para la mayoría de los
investigadores de seguridad rastrear tales ataques.
“En el pasado, hemos visto a por lo
menos tres actores diferentes que utilizaban enlaces a Internet por satélite
para enmascarar sus operaciones. De estos, la solución desarrollada por el
grupo Turla es la más interesante e inusual. Ellos son capaces de alcanzar el
máximo nivel de anonimato mediante la explotación de una tecnología ampliamente
utilizada- Internet por satélite de una vía. Los atacantes pueden encontrarse
en cualquier lugar dentro del alcance de su satélite elegido, una área que
puede exceder miles de kilómetros cuadrados", dijo Stefan Tanase,
Investigador Senior de Seguridad de Kaspersky Lab. "Esto hace casi
imposible rastrear al atacante. Debido a que el uso de estos métodos son cada
vez más comunes, es importante que los administradores de sistemas implementen
las estrategias correctas de defensa para mitigar tales ataques".
Los productos de Kaspersky Lab detectan
de manera eficaz y bloquean el malware utilizado por el actor Turla con los
siguientes nombres de detección:
Backdoor.Win32.Turla.*
Rootkit.Win32.Turla.*
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
Rootkit.Win32.Turla.*
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
Información adicional acerca de los
ataques selectivos de Turla está disponible para los clientes de los Servicios
de Inteligencia de Seguridad de Kaspersky. Contacto: intelreports@kaspersky.com
Lea más acerca de los mecanismos de
abuso de enlaces de Internet por satélite que utiliza el grupo de
ciberespionaje Turla, y vea los Indicadores de Compromiso en Securelist.com: http://www.viruslist.com/sp/weblog?weblogid=208189103
Descubra cómo los productos de Kaspersky
Lab pueden ayudar a protegerlo contra la operación de Turla aquí:https://business.kaspersky.com/satellite-turla/4515/
Descubra más acerca de otras
operaciones de ciberespionaje de habla rusa aquí: https://apt.securelist.com/#secondPage/language=5
Descubra cómo se investigan los
ataques selectivos sofisticados: http://www.youtube.com/watch?v=FzPYGRO9LsA
No hay comentarios:
Publicar un comentario