Con los pies en la tierra y las amenazas en el cielo

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Las amenazas cibernéticas son cada día más sofisticadas: el vector de ataque Turla descubierto por investigadores rusos, demuestra que la red de satélites de comunicaciones, está comprometida.

Es un método que podría convertirse en una preocupación para las comunidades de seguridad informática y de contra-inteligencia, si es aplicado por otros delincuentes cibernéticos.
Turla es un grupo de ciberespionaje sofisticado que ha estado activo durante más de ocho años. Los atacantes detrás Turla han infectado cientos de equipos en más de 45 países, entre ellos Kazajstán, Rusia, China, Vietnam y Estados Unidos.

Los tipos de organizaciones que han sido afectadas incluyen instituciones gubernamentales y embajadas, así como militares, instituciones educativas de alto nivel, investigadores y empresas farmacéuticas. Para los blancos de más alto perfil, los atacantes utilizan un amplio mecanismo de comunicación por satélite en las etapas posteriores al ataque, que les ayuda a ocultar sus huellas.
Las comunicaciones por satélite son conocidas sobre todo como una herramienta para la difusión de televisión, pero también pueden proporcionar acceso a Internet en lugares remotos donde todos los otros tipos de acceso a Internet son inestables o no tienen ningún tipo de acceso.
El grupo Turla se aprovecha de una debilidad propia de sistema satelital que devuelve todo el tráfico sin cifrar. Esto les permite usarla para ocultar la ubicación de sus servidores C & C, una de las partes más importantes de la infraestructura maliciosa.
El descubrimiento de la localización de un servidor de este tipo puede conducir a los investigadores a descubrir detalles sobre quién es en realidad el actor detrás de una operación, así que aquí está cómo el grupo Turla logra evitar estos riesgos:

  • El grupo primero “sniffea” el tráfico que baja desde el satélite para identificar las direcciones IP activas de usuarios de Internet basadas ​​en satélites que están en línea en ese momento.
  • A continuación, elige una dirección IP en línea para ser utilizada para enmascarar un servidor C & C, sin que el usuario legítimo se dé cuenta.
  • Los equipos infectados por Turla son entonces instruidos para exfiltrar datos hacia las direcciones IP deseadas para los usuarios habituales de Internet por satélite. Los datos viajan a través de las líneas convencionales a telepuertos del proveedor de Internet por satélite, a continuación, hasta el satélite, y finalmente desde el satélite a los usuarios con las direcciones IP elegidas.

Curiosamente, el usuario legítimo cuya dirección IP ha sido utilizada por los atacantes para recibir datos de un equipo infectado, también recibirá estos paquetes de datos, sin probablemente notarlos. Esto se debe a que los atacantes Turla instruyen a las máquinas infectadas para enviar datos a los puertos que, en la mayoría de los casos, se cierran de forma predeterminada. Como resultado, el PC de un usuario legítimo simplemente bajará estos paquetes, mientras que el servidor Turla C & C, que mantiene los puertos abiertos, recibirá y procesará los datos que exfiltraron.
Además, el actor Turla tiende a utilizar los proveedores de conexión a Internet vía satélite ubicados en Oriente Medio y en países africanos como Congo, Líbano, Libia, Níger, Nigeria, Somalia o los Emiratos Árabes Unidos.

La cobertura de estos satélites que son utilizados por los operadores en estos países generalmente no cubren los territorios europeos y norteamericanos, por lo que es muy difícil para la mayoría de los investigadores de seguridad investigar este tipo de ataques.