Transformación digital | Noticias | 09 SEP 2015

Las debilidades de seguridad en redes de satélites globales, escondite de los cibercriminales Turla

El grupo, activo desde hace más de ocho años, ha encontrado la manera de controlar a sus víctimas y al mismo tiempo hacer que sea increíblemente difícil que les rastreen.
hacker ciberespia
ComputerWorld

En las operaciones de ciberespionaje, el servidor de comando y control es una de las partes más importantes de la infraestructura maliciosa, ya que sirve como un "centro de operaciones" para el malware desplegado en equipos concretos. En caso de que los expertos en seguridad o agentes del orden público tuviesen acceso al servidor, se pondría en riesgo toda la operación maliciosa o al menos una parte de ella. La mayor desventaja de un "centro de operaciones" es que estos servidores pueden utilizarse para rastrear a los cibercriminales que están detrás de la operación al regresar a su ubicación física. Pero parece ser, según ha descubierto Kaspersky Lab, que algunos actores de ciberespionaje han conseguido esquivar los métodos de seguimiento.

Las comunicaciones por satélite son conocidas sobre todo como herramienta para la radiodifusión de televisión y comunicaciones seguras. Sin embargo, también se utilizan para proporcionar acceso a Internet. Estos servicios se utilizan sobre todo en lugares remotos donde otros tipos de acceso a Internet son inestables y lentos, o la conexión no está disponible. Uno de los tipos más extendidos y de bajo coste de conexión a Internet vía satélite es una denominada downstream-only.

En este caso, las solicitudes de salida desde un PC pasan por líneas convencionales (conexión por cable o GPRS) y todo el tráfico entrante llega desde el satélite. La conexión por satélite permite al usuario obtener velocidad de descarga, sin embargo, tiene una gran desventaja: todo el tráfico de bajada va sin cifrar, permitiendo que cualquier usuario con un equipo adecuado pueda interceptar el tráfico y obtener acceso a los datos que se están descargando.

Esta debilidad fue usada por Turla con el fin de ocultar la ubicación de sus servidores C&C. El método consistía en primer lugar en "escuchar" el satélite downstream para identificar las direcciones IP activas de usuarios de Internet por satélite que están en línea en el momento actual. Tras ello se seleccionaba una dirección de IP y cambiaban la configuración de red del servidor C&C con el fin de imitar el usuario legítimo.

Además, mediante el uso de conexiones convencionales, se comunican con los equipos infectados y les da instrucciones para enviar datos hacia las direcciones IP deseadas para los usuarios de Internet por satélite. Los datos viajan a través de las líneas convencionales a telepuertos del proveedor de Internet por satélite, de ahí al satélite y, finalmente, (desde el satélite a los usuarios con las direcciones IP elegidas).

Curiosamente, el usuario legítimo cuya IP fue utilizada por los ciberdelincuentes con el fin de recibir datos desde la máquina infectada, también recibirán estos paquetes. Esto se debe a que los ciberdelincuentes de Turla instruyen a los equipos infectados para enviar datos por los puertos que están cerrados por defecto en gran mayoría de los casos. Así que el PC del usuario legítimo simplemente deja caer estos paquetes, mientras que el servidor C&C Turla los recibe y procesa, ya que mantiene los puertos normalmente cerrados.

"En el pasado, hemos visto al menos tres actores diferentes que utilizan enlaces de Internet por satélite para enmascarar sus operaciones. De ellos, el grupo más interesante e inusual es Turla. Esta técnica permite que los ciberdelincuentes alcancen el máximo nivel de anonimato. Pueden estar en cualquier lugar en el rango de la cobertura del satélite, que por lo general supera a miles de kilómetros" ha comentado Stefan Tanase, Analista Principal de Seguridad de Kaspersky Lab.

Otro dato interesante sobre las técnicas de los actores Turla es que tienden a utilizar los proveedores de conexión a Internet vía satélite ubicadas en Oriente Medio y países africanos. En su investigación, los analistas de Kaspersky Lab han descubierto el grupo Turla usando IPs de proveedores ubicados en países como Congo, Líbano, Libia, Níger, Nigeria, Somalia o los Emiratos Árabes Unidos.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información