Turla, el grupo de hackers que utiliza los satélites para robar datos sin dejar huellas

Share this…

La compañía especializada en seguridad informática Kasperskyreveló que una organización de hackers de habla rusa, identificada como Turla, ha vulnerado la seguridad de centenares de computadoras en 45 países sin dejar pistas de su actividad o localización, gracias a que aprovecha un amplio mecanismo de comunicación por satélite en las etapas posteriores al ataque.

Según el informe publicado hoy, se trataría de un grupo de ciberespionaje sofisticado que ha estado activo durante más de 8 años, y entre sus víctimas se encuentran organismos gubernamentales, embajadas, estamentos militares, organizaciones de investigación y educativas, además de empresas farmacéuticas.

Turla group

Como puede apreciarse en la infografía difundida por Kaspersky, los países en donde se registró un mayor número de ordenadores infectados con esta modalidad de ataque cibernético fueron Rusia y Kazajistán, seguidos luego por China, Vietnam y los EE.UU.

El modo de operación de Turla aprovecha una debilidad que presenta la tecnología de comunicaciones satelitales de Internet de una sola vía y de bajo costo conocida como downstream-only connection, que suele utilizarse para permitir el acceso a la Web en lugares remotos, con una velocidad de descarga relativamente rápida.

Dado que este sistema de comunicación permite que todo el tráfico de bajada retorne sin cifrar a la PC del usuario, es posible que un tercero pueda interceptar la comunicación y obtener acceso a todos los datos de los usuarios de los links que se estén descargando.

Según el comunicado de Kaspersky, el grupo Turla aprovecha esa vulnerabilidad para ocultar la ubicación de sus servidores de comando y control (C & C), que constituyen la base de origen para el contenido malicioso desplegado en determinadas máquinas, y cuya localización ayuda a los investigadores a descubrir detalles de quienes están detrás de los ataques informáticos.

Para ello, lo primero que hacen los hackers de esa organización es analizar el tráfico de bajada desde un satélite para identificar las direcciones IP activas de usuarios de Internet que están en línea en ese momento.

A continuación, se selecciona una dirección IP en línea, que será utilizada para enmascarar a un servidor C & C, sin que el usuario legítimo pueda percatarse de ello.

Una vez cumplido ese paso, los equipos infectados con el malware de Turla son instruidos para exfiltrar los datos hacia las direcciones IP deseadas, de manera que los mismos viajen a través de líneas convencionales a telepuertos del proveedor de Internet por satélite, luego hasta el satélite propiamente dicho, y finalmente desde éste a los usuarios con las direcciones IP elegidas.

Los usuarios legítimos cuyas direcciones IP han sido utilizadas para recibir la información robada no se dan cuenta de que su equipo también está recibiendo esos paquetes de datos, debido a que los dispositivos infectados por Turla han recibido las instrucciones de enviarlos a puertos que, en la mayoría de los casos, se cierran de forma predeterminada.

De este modo, las computadoras de los usuarios legítimos eliminan automáticamente los datos sustraídos, mientras que el verdadero servidor de los hackers, que mantiene sus puertos abiertos, recibirá y procesará toda la data objeto de la filtración.

A mundo revuelto, ganancia de Turla: Explotando las comunicaciones satelitales en zonas de conflicto

Otro descubrimiento de Kaspersky sobre esta amenaza es que la organizaciónTurla tiende a utilizar las comunicaciones de Internet por satélite de Medio Oriente y África, por lo que seguramente debe tener desplegados al menos una antena y un equipo en esas zonas. De hecho, se pudo establecer que los hackers han explotado los servicios de los proveedores de Internet por satélite en países en conflicto como Afganistán, Congo y Libia, en los que es más fácil eludir a los investigadores o la policía.

Por el momento, los proveedores de servicios por satélite se encuentran imposibilitados por bloquear las infiltraciones de este grupo de hackers, ya que para hacerlo se necesitaría reemplazar la tecnología instalada en dichos sistemas orbitales de comunicación.

Mientras tanto, y hasta que esa solución llegue, a los usuarios sólo les queda confiar en el uso de antivirus de calidad que permitan detectar y bloquear el malware utilizado por Turla para infectar los ordenadores.

 
Fuente:https://www.noticias-tecnologia.com.ar/