Kaspersky Lab descubre que

campaa de ciberespionaje de
habla rusa aprovecha satlites
para lograr el anonimato
Turla ha infectado a computadoras en ms de 45 pases
incluyendo Brasil, Ecuador y Mxico

Al investigar a Turla, el infame actor de ciberespionaje de habla rusa, los

investigadores de Kaspersky Lab descubrieron cmo este evade la deteccin de
su actividad y de su ubicacin fsica. Como solucin para el anonimato, el
grupo utiliza las debilidades de seguridad en las redes de satlites
globales.
Turla es un grupo de ciberespionaje sofisticado que ha estado activo durante ms
de ocho aos. Los atacantes que estn detrs de Turla han infectado a cientos de
computadoras en ms de 45 pases, entre ellos Kazakstn, Rusia, China, Vietnam
y los Estados Unidos. Entre los pases afectados a un nivel menor se encuentran
Brasil, Mxico y Ecuador. Los tipos de organizaciones que han sido infectadas
incluyen instituciones gubernamentales y embajadas, as como entidades
militares, de educacin, investigacin y farmacuticas. En la etapa inicial, la
puerta trasera Epic Turla realiza perfiles de las vctimas. Luego, slo para los
objetivos con los perfiles ms altos, los atacantes utilizan un amplio mecanismo
de comunicacin basado en satlites en las etapas avanzadas del ataque, lo cual
les ayuda a ocultar su rastro.

Las comunicaciones por satlite son conocidas principalmente como

herramientas para la transmisin de programas de televisin y para
comunicaciones seguras; sin embargo, tambin se utilizan para tener acceso a
Internet. Estos servicios se utilizan principalmente en lugares remotos donde
otros tipos de acceso a Internet son inestables y lentos o incluso no existen. Uno
de los tipos ms extendidos y econmicos de conexin a Internet por satlite es
lo que se conoce como enlaces de flujo nico descendente.
En este caso, las solicitudes de salida de una computadora de un usuario se
comunican mediante las lneas convencionales (una conexin almbrica o GPRS),
de manera que todo el trfico de ingreso viene del satlite. Esta tecnologa
permite al usuario obtener una velocidad de descarga relativamente rpida. Sin
embargo, tiene una gran desventaja: todo el trfico de descarga regresa a la PC
sin ser cifrado. Cualquier usuario malicioso con el equipo y software adecuado
podra simplemente interceptar el trfico y obtener acceso a todos los datos que
los usuarios de estos enlaces estn descargando.
El grupo Turla aprovecha esta debilidad de una forma diferente: utilizndola para
esconder la ubicacin de sus servidores de comando y control (C&C), una de las
partes ms importantes de la infraestructura maliciosa. El servidor C&C es en
esencia una "base" para el malware implantado en las mquinas seleccionadas.
El descubrimiento de la ubicacin de dicho servidor puede conducir a los
investigadores a descubrir detalles acerca del actor que se encuentra detrs de
la operacin, de manera que as es como el grupo Turla est evitando estos
riesgos:
1. El grupo primero "escucha" la descarga del satlite para identificar las
direcciones IP activas de usuarios de Internet por satlite que se encuentran en
lnea en ese momento.

2. Seguido a esto, eligen una direccin de IP para enmascarar un servidor C&C,

sin el conocimiento del usuario legtimo.
3. Los equipos infectados por Turla son entonces instruidos para que retiren datos
hacia las direcciones IP seleccionadas de usuarios regulares de Internet por
satlite. Los datos viajan a travs de lneas convencionales a telepuertos del
proveedor de Internet por satlite, luego suben al satlite, y finalmente bajan del
satlite a los usuarios con las IPs elegidas.
Curiosamente, el usuario legtimo cuya direccin IP ha sido utilizada por los
atacantes para recibir los datos de la mquina infectada, tambin recibir estos
paquetes de datos pero difcilmente los notar. Esto se debe a que los actores de
Turla dan instrucciones a las mquinas infectadas para que enven los datos a
puertos que, en la mayora de los casos, estn cerrados por defecto. De manera
que la PC de un usuario legtimo soltar simplemente estos paquetes, mientras
que el servidor C&C de Turla, el cual mantiene esos puertos abiertos, recibir y
procesar los datos extrados.
Otro detalle interesante de las tcticas del actor de Turla es que tienden a utilizar
proveedores de conexin a Internet por satlite localizados en pases del Medio
Oriente y Africanos. En su investigacin, los expertos de Kaspersky Lab han
descubierto al el grupo Turla utilizando IPs de proveedores localizados en pases
como Congo, Lbano, Libia, Nigeria, Somalia o los Emiratos rabes Unidos.

La cobertura de estas trasmisiones de satlite que utilizan operadores en estos

pases normalmente no cubre territorios europeos ni norteamericanos, por lo que

es muy difcil para la mayora de los investigadores de seguridad rastrear tales

ataques.
En el pasado, hemos visto a por lo menos tres actores diferentes que utilizaban
enlaces a Internet por satlite para enmascarar sus operaciones. De estos, la
solucin desarrollada por el grupo Turla es la ms interesante e inusual. Ellos son
capaces de alcanzar el mximo nivel de anonimato mediante la explotacin de
una tecnologa ampliamente utilizada- Internet por satlite de una va. Los
atacantes pueden encontrarse en cualquier lugar dentro del alcance de su
satlite elegido, una rea que puede exceder miles de kilmetros cuadrados",
dijo Stefan Tanase, Investigador Senior de Seguridad de Kaspersky Lab. "Esto
hace casi imposible rastrear al atacante. Debido a que el uso de estos mtodos
son cada vez ms comunes, es importante que los administradores de sistemas
implementen las estrategias correctas de defensa para mitigar tales ataques".
Los productos de Kaspersky Lab detectan de manera eficaz y bloquean el
malware utilizado por el actor Turla con los siguientes nombres de deteccin:
Backdoor.Win32.Turla.*
Rootkit.Win32.Turla.*
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic

Informacin adicional acerca de los ataques selectivos de Turla est

disponible para los clientes de los Servicios de Inteligencia de
Seguridad de Kaspersky. Contacto: intelreports@kaspersky.com
Lea ms acerca de los mecanismos de abuso de enlaces de Internet por satlite
que utiliza el grupo de ciberespionaje Turla, y vea los Indicadores de Compromiso
en Securelist.com: http://www.viruslist.com/sp/weblog?weblogid=208189103
Descubra cmo los productos de Kaspersky Lab pueden ayudar a protegerlo
contra la operacin de Turla aqu: https://business.kaspersky.com/satelliteturla/4515/
Descubra ms acerca de otras operaciones de ciberespionaje de habla rusa aqu:
https://apt.securelist.com/#secondPage/language=5
Descubra cmo se investigan los ataques selectivos
sofisticados: http://www.youtube.com/watch?v=FzPYGRO9LsA

Acerca de Kaspersky Lab

Kaspersky Lab es una de las compaas de seguridad informtica de ms rpido
crecimiento del mundo y la ms grande de propiedad privada. La empresa se
sita entre las cuatro mejores del mundo como proveedora de soluciones de
seguridad para TI (IDC, 2014). Desde 1997, Kaspersky Lab ha sido innovadora en
ciberseguridad y ofrece soluciones de seguridad digital eficaces e inteligencia de
amenazas para las grandes corporaciones, PyMEs y pblico en general.

Kaspersky Lab es una compaa internacional que opera en casi 200 pases y
territorios de todo el mundo, y que ofrece proteccin para ms de 400 millones
de usuarios a nivel mundial. Ms informacin en http://latam.kaspersky.com .