Grupo Hacking ruso utiliza satélites para ocultar los servidores de comando y control


El Cyber-espionaje llevado a otro nivel, físicamente


Durante los últimos 8 años, el grupo APT Turla (amenaza persistente avanzada) logró permanecer invisible ocultándose hábilmente de la ley y de las firmas de seguridad cibernéticas. Ahora, Kaspersky Lab ha identificado a este grupo que logró disfrazarse a sí mismo mediante el uso de satélite para las conexiones de Internet y así poder ocultar sus servidores C & C (comando y control).


Turla, un grupo de ciber-espionaje que muchos sospechan que está formado por hackers de habla rusa, se les detecto desde el 2007, pero sólo el año pasado, los investigadores de seguridad de Kaspersky han conseguido arrojar luz sobre sus operaciones.

Después de analizar varios años los datos recogidos de sus clientes, Stefan Tanase de Kaspersky afirma que, mediante el uso de errores en el diseño de los mayores satélites de comunicaciones, los atacantes han sido capaces de interceptar el tráfico de Internet y utilizarlo para ocultar la ubicación de sus servidores C & C.

Introducción a las comunicaciones por satélite

Los satélites han sido por muchas décadas utilizados en la transmisión de comunicaciones en todo el mundo, a velocidades más rápidas que el uso de cables submarinos clásicos. Estos pueden retransmitir TV, radio, datos móviles, y sobre todo, el tráfico de Internet.

La mayoría de los satélites que orbitan alrededor de la Tierra tienen décadas de antigüedad y no vienen con soporte para conexiones cifradas, una medida que ha sido necesaria sólo en los últimos años.

Esta laguna en particular en el diseño de estos satélites está siendo explotada por el grupo Turla, que utiliza parabólicas comunes para libremente interceptar del tráfico que se baja desde el satélite a un usuario específico.

Los atacantes secuestran las comunicaciones por satélite sin cifrar


¿Cómo funciona todo esto? Es algo aparentemente bastante simple. Usted tiene una gran cantidad de satélites que orbitan la Tierra vulnerables para enviar tráfico sin cifrar a una zona geográfica deseada.

Los hackers de Turla compran una antena parabólica para interceptar ese tráfico, alquilan una casa en la zona donde los satélites vulnerables proporcionan cobertura, y consiguen una línea de conexión clásica fija para Internet.


Dado que el tráfico es desde el satélite, los hackers de Turla pueden saber su contenido y ver qué usuarios están en línea en ese momento, seleccionando de forma aleatoria una IP.

Esta IP es transmitida a los clientes infectados de su botnet mediante el teléfono fijo, clientes que luego envían sus datos robados a través de la conexión satelital a la IP de un suscriptor de Internet vía satélite.

Esto es la parte maliciosa del asunto. Puesto que el tráfico está cifrado, los hackers de Turla pueden fácilmente realizar un ataque MitM (man in the middle) e interceptar el tráfico destinado a esa IP.

Debido a que los datos enviados a los usuarios infectados a través de la conexión por satélite es alterada específicamente en la tierra con los puertos personalizados, cerrados generalmente con la IP de destino, los usuarios que tenían su conexión a Internet vía satélite interceptada, nunca sabrán que todo esto sucedió porque su PC automáticamente reciben todos los paquetes de red en ese puerto cerrado.

100% indetectable los servidores C & C de la botnet


Mientras tanto, los hackers tienen los datos enviados desde sus clientes, todo sin dar a conocer su IP real para hacerlo.

Desde los satélites pueden cubrir grandes áreas de un continente, los hackers también pueden ocultar fácilmente su ubicación geográfica, poniendo cientos de kilómetros entre ellos y el usuario tiene interceptado el tráfico.

Con este método obtienen un 100% de anonimato, algo que Tor o los servidores proxy clásicos nunca podrían realmente ofrecer.

El África es un blanco favorito para ocultar los servidores C & C de Turla

Como señala Kaspersky, el análisis de las acciones que realiza el grupo es muy problemático para los investigadores de seguridad, ya que el grupo se dirige a los satélites que proporcionan cobertura sólo para las regiones de África y el Medio Oriente.

Al elegir los satélites en estas regiones, los investigadores de seguridad cibernética tendrán que enfrentarse a muchas dificultades en el acceso a los datos para ser analizados.

Además, los satélites en esta región son de un modelo muy antiguo, lo que asegura una amplia variedad para elegir, en comparación con las regiones de Europa y América del Norte donde se utilizan satélites más modernos, con conexiones a Internet más rápidas, pero con soporte para comunicaciones cifradas.


Fuente: Softpedia.