Kaspersky revela red de cibercrimen vía……

Kaspersky revela red de cibercrimen vía Internet satelital

Cuando investigaban la actividad del arma de ciberespionaje de habla rusa Turla, activa desde hace más de 8 años, los analistas de Kaspersky Lab se encontraron con el máximo nivel de anonimato. Para ocultar su actividad, este grupo utiliza debilidades de seguridad en las redes de satélites globales. En las operaciones de ciberespionaje, el servidor de comando y control es una de las partes más importantes de la infraestructura maliciosa, ya que sirve como un “centro de operaciones” para el malware desplegado en equipos concretos. En caso de que los expertos en seguridad o agentes del orden público tuviesen acceso al servidor, se pondría en riesgo toda la operación maliciosa o al menos una parte de ella.

Así, la mayor desventaja de un “centro de operaciones” es que estos servidores pueden utilizarse para rastrear a los cibercriminales que están detrás de la operación al regresar a su ubicación física. Sin embargo, como demuestra el reciente análisis de Kaspersky Lab, algunos actores de ciberespionaje han encontrado la manera de controlar a sus víctimas y, al mismo tiempo, hacer que sea increíblemente difícil que les rastreen.

Las comunicaciones por satélite son conocidas sobre todo como herramienta para la radiodifusión de televisión y comunicaciones seguras. Sin embargo, también se utilizan para proporcionar acceso a la Internet. Estos servicios se utilizan sobre todo en lugares remotos donde otros tipos de acceso a Internet son inestables y lentos, o la conexión no está disponible. Uno de los tipos más extendidos y de bajo coste de conexión a Internet vía satélite es una denominada downstream-only.

En este caso, las solicitudes de salida desde un PC pasan por líneas convencionales (conexión por cable o GPRS) y todo el tráfico entrante llega desde el satélite. La conexión por satélite permite al usuario obtener velocidad de descarga, sin embargo, tiene una gran desventaja: todo el tráfico de bajada va sin cifrar, permitiendo que cualquier usuario con un equipo adecuado pueda interceptar el tráfico y obtener acceso a los datos que se están descargando.

Turla aprovechó esta debilidad de una manera diferente: fue utilizada con el fin de ocultar la ubicación de sus servidores C&C:

1. Primero se “escucha” el satélite downstream para identificar las direcciones IP activas de usuarios de Internet por satélite que están en línea en el momento actual.

2. Luego, selecciona una dirección IP y cambia la configuración de red del servidor C&C con el fin de imitar el usuario legítimo.

3. Uso de conexiones convencionales, se comunican con los equipos infectados y les da instrucciones para enviar datos hacia las direcciones IP deseadas para los usuarios de Internet por satélite. Los datos viajan a través de las líneas convencionales a telepuertos del proveedor de Internet por satélite, de ahí al satélite y, finalmente, – desde el satélite a los usuarios con las direcciones IP elegidas.

Curiosamente, el usuario legítimo cuya IP fue utilizada por los ciberdelincuentes con el fin de recibir datos desde la máquina infectada, también recibirán estos paquetes. Esto se debe a que los ciberdelincuentes de Turla instruyen a los equipos infectados para enviar datos por los puertos que están cerrados por defecto en gran mayoría de los casos. Así que el PC del usuario legítimo simplemente deja caer estos paquetes, mientras que el servidor C&C Turla los recibe y procesa, ya que mantiene los puertos normalmente cerrados.

Otro dato interesante sobre las técnicas de los actores Turla es que tienden a utilizar los proveedores de conexión a Internet vía satélite ubicadas en Oriente Medio y países africanos. En su investigación, los analistas de Kaspersky Lab han descubierto el grupo Turla usando IPs de proveedores ubicados en países como Congo, Líbano, Libia, Níger, Nigeria, Somalia o los Emiratos Árabes Unidos.

“En el pasado, hemos visto al menos tres actores diferentes que utilizan enlaces de Internet por satélite para enmascarar sus operaciones. De ellos, el grupo más interesante e inusual es Turla. Esta técnica permite que los ciberdelincuentes alcancen el máximo nivel de anonimato. Pueden estar en cualquier lugar en el rango de la cobertura del satélite, que por lo general supera a miles de kilómetros”- afirma Stefan Tanase, Analista Principal de Seguridad de Kaspersky Lab. “Como es casi imposible de localizar a un ciberdelincuente, el uso de estos mecanismos se vuelve más popular, es importante que los administradores de sistemas para implementar las estrategias de defensa correctas para mitigar este tipo de ataques”.

Los productos de Kaspersky Lab detectan y bloquean el malware utilizado por el actor amenaza Turla.