Turla: APT que utiliza satelites
La compañía Kaspersky reveló que una organización de delincuentes rusos identificados como Turla, ha vulnerado la seguridad de centenares de computadoras en 45 países sin dejar pistas de su actividad o localización, gracias a que aprovecha un amplio mecanismo de comunicación por satélite en las etapas posteriores al ataque.
Según el informe, se trataría de un grupo de ciberespionaje sofisticado que ha estado activo durante más de ocho años, y entre sus víctimas se encuentran organismos gubernamentales, embajadas, estamentos militares, organizaciones de investigación y educativas, además de empresas farmacéuticas.
Como puede apreciarse en la infografía, los países en donde se registró un mayor número de ordenadores infectados con esta modalidad de ataque cibernético fueron Rusia y Kazajistán, seguidos luego por China, Vietnam y los EE.UU.
El modo de operación de Turla aprovecha una debilidad que presenta la tecnología de comunicaciones satelitales de Internet de una sola vía y de bajo costo conocida como Downstream-Only Connection, que suele utilizarse para permitir el acceso a la Web en lugares remotos, con una velocidad de descarga relativamente rápida.
Dado que este sistema de comunicación permite que todo el tráfico de bajada retorne sin cifrar a la PC del usuario, es posible que un tercero pueda interceptar la comunicación y obtener acceso a todos los datos de los usuarios de los links que se estén descargando.
El grupo Turla aprovecha esa vulnerabilidad para ocultar la ubicación de sus servidores de comando y control (C & C), que constituyen la base de origen para el contenido malicioso desplegado en determinadas máquinas, y cuya localización ayuda a los investigadores a descubrir detalles de quienes están detrás de los ataques informáticos.
Para ello, lo primero que hacen los hackers de esa organización es analizar el tráfico de bajada desde un satélite para identificar las direcciones IP activas de usuarios de Internet que están en línea en ese momento. A continuación, se selecciona una dirección IP en línea, que será utilizada para enmascarar a un servidor C & C, sin que el usuario legítimo pueda percatarse de ello.
Una vez cumplido ese paso, los equipos infectados con el malware de Turla son instruidos para exfiltrar los datos hacia las direcciones IP deseadas, de manera que los mismos viajen a través de líneas convencionales a telepuertos del proveedor de Internet por satélite, luego hasta el satélite propiamente dicho, y finalmente desde éste a los usuarios con las direcciones IP elegidas.
Los usuarios legítimos cuyas direcciones IP han sido utilizadas para recibir la información robada no se dan cuenta de que su equipo también está recibiendo esos paquetes de datos, debido a que los dispositivos infectados por Turla han recibido las instrucciones de enviarlos a puertos que, en la mayoría de los casos, se cierran de forma predeterminada.
De este modo, las computadoras de los usuarios legítimos eliminan automáticamente los datos sustraídos, mientras que el verdadero servidor de los hackers, que mantiene sus puertos abiertos, recibirá y procesará toda la data objeto de la filtración. El usuario nunca se da cuenta de esto, de cómo los hackers rutean el tráfico en el dispositivo legítimo a un puerto no utilizado. Mientras tanto, la máquina falsa, haciéndose pasar por la IP legitima del usuario, recibe la información. La imagen siguiente muestra su funcionamiento:
Por el momento, los proveedores de servicios por satélite se encuentran imposibilitados por bloquear las infiltraciones de este grupo de hackers, ya que para hacerlo se necesitaría reemplazar la tecnología instalada en dichos sistemas orbitales de comunicación.
Kaspersky dijo que el uso de satélites significa que los APT son casi imposibles de derribar pues la infraestructura no puede ser rastreada. Este es un gran beneficio en comparación con un servidor C&C tradicional, que por lo general pueden ser cerrados por la policía.
Fuente: Viruslist, Zonavirus
Según el informe, se trataría de un grupo de ciberespionaje sofisticado que ha estado activo durante más de ocho años, y entre sus víctimas se encuentran organismos gubernamentales, embajadas, estamentos militares, organizaciones de investigación y educativas, además de empresas farmacéuticas.
El modo de operación de Turla aprovecha una debilidad que presenta la tecnología de comunicaciones satelitales de Internet de una sola vía y de bajo costo conocida como Downstream-Only Connection, que suele utilizarse para permitir el acceso a la Web en lugares remotos, con una velocidad de descarga relativamente rápida.
Dado que este sistema de comunicación permite que todo el tráfico de bajada retorne sin cifrar a la PC del usuario, es posible que un tercero pueda interceptar la comunicación y obtener acceso a todos los datos de los usuarios de los links que se estén descargando.
Para ello, lo primero que hacen los hackers de esa organización es analizar el tráfico de bajada desde un satélite para identificar las direcciones IP activas de usuarios de Internet que están en línea en ese momento. A continuación, se selecciona una dirección IP en línea, que será utilizada para enmascarar a un servidor C & C, sin que el usuario legítimo pueda percatarse de ello.
Una vez cumplido ese paso, los equipos infectados con el malware de Turla son instruidos para exfiltrar los datos hacia las direcciones IP deseadas, de manera que los mismos viajen a través de líneas convencionales a telepuertos del proveedor de Internet por satélite, luego hasta el satélite propiamente dicho, y finalmente desde éste a los usuarios con las direcciones IP elegidas.
Los usuarios legítimos cuyas direcciones IP han sido utilizadas para recibir la información robada no se dan cuenta de que su equipo también está recibiendo esos paquetes de datos, debido a que los dispositivos infectados por Turla han recibido las instrucciones de enviarlos a puertos que, en la mayoría de los casos, se cierran de forma predeterminada.
De este modo, las computadoras de los usuarios legítimos eliminan automáticamente los datos sustraídos, mientras que el verdadero servidor de los hackers, que mantiene sus puertos abiertos, recibirá y procesará toda la data objeto de la filtración. El usuario nunca se da cuenta de esto, de cómo los hackers rutean el tráfico en el dispositivo legítimo a un puerto no utilizado. Mientras tanto, la máquina falsa, haciéndose pasar por la IP legitima del usuario, recibe la información. La imagen siguiente muestra su funcionamiento:
Por el momento, los proveedores de servicios por satélite se encuentran imposibilitados por bloquear las infiltraciones de este grupo de hackers, ya que para hacerlo se necesitaría reemplazar la tecnología instalada en dichos sistemas orbitales de comunicación.
Kaspersky dijo que el uso de satélites significa que los APT son casi imposibles de derribar pues la infraestructura no puede ser rastreada. Este es un gran beneficio en comparación con un servidor C&C tradicional, que por lo general pueden ser cerrados por la policía.
Fuente: Viruslist, Zonavirus
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!