Turla es un grupo de ciberespionaje sofisticado que ha estado activo durante más de ocho años. Los atacantes que están detrás de Turla han infectado a cientos de computadoras en más de 45 países, entre ellos Kazajstán, Rusia, China, Vietnam y los Estados Unidos. Entre los países afectados a un nivel menor se encuentran Brasil, México y Ecuador. Los tipos de organizaciones que han sido infectadas incluyen instituciones gubernamentales y embajadas, así como entidades militares, de educación, investigación y farmacéuticas. En la etapa inicial, la puerta trasera Epic Turla realiza perfiles de las víctimas. Luego, sólo para los objetivos con los perfiles más altos, los atacantes utilizan un amplio mecanismo de comunicación basado en satélites en las etapas avanzadas del ataque, lo cual les ayuda a ocultar su rastro.
Las comunicaciones por satélite son conocidas principalmente como herramientas para la transmisión de programas de televisión y para comunicaciones seguras; sin embargo, también se utilizan para tener acceso a Internet. Estos servicios se utilizan principalmente en lugares remotos donde otros tipos de acceso a Internet son inestables y lentos o incluso no existen. Uno de los tipos más extendidos y económicos de conexión a Internet por satélite es lo que se conoce como enlaces de flujo único descendente.
En este caso, las solicitudes de salida de una computadora de un usuario se comunican mediante las líneas convencionales (una conexión alámbrica o GPRS), de manera que todo el tráfico de ingreso viene del satélite. Esta tecnología permite al usuario obtener una velocidad de descarga relativamente rápida. Sin embargo, tiene una gran desventaja: todo el tráfico de descarga regresa a la PC sin ser cifrado. Cualquier usuario malicioso con el equipo y software adecuado podría simplemente interceptar el tráfico y obtener acceso a todos los datos que los usuarios de estos enlaces están descargando.
El grupo Turla aprovecha esta debilidad de una forma diferente, utilizándola para esconder la ubicación de sus servidores de comando y control (C&C), una de las partes más importantes de la infraestructura maliciosa. El servidor C&C es en esencia una "base" para el malware implantado en las máquinas seleccionadas. El descubrimiento de la ubicación de dicho servidor puede conducir a los investigadores a encontrar detalles acerca del actor que se encuentra detrás de la operación. Así es como el grupo Turla está evitando estos riesgos:
1. El grupo primero "escucha" la descarga del satélite para identificar las direcciones IP activas de usuarios de Internet por satélite que se encuentran en línea en ese momento.
2. Seguido a esto, eligen una dirección de IP para enmascarar un servidor C&C, sin el conocimiento del usuario legítimo.
3. Los equipos infectados por Turla son entonces instruidos para que retiren datos hacia las direcciones IP seleccionadas de usuarios regulares de Internet por satélite. Los datos viajan a través de líneas convencionales a telepuertos del proveedor de Internet por satélite, luego suben al satélite y finalmente bajan del satélite a los usuarios con las IPs elegidas.
Curiosamente, el usuario legítimo cuya dirección IP ha sido utilizada por los atacantes para recibir los datos de la máquina infectada, también recibirá estos paquetes de datos pero difícilmente los notará. Esto se debe a que los actores de Turla dan instrucciones a las máquinas infectadas para que envíen los datos a puertos que, en la mayoría de los casos, están cerrados por defecto. De manera que la PC de un usuario legítimo soltará simplemente estos paquetes, mientras que el servidor C&C de Turla, el cual mantiene esos puertos abiertos, recibirá y procesará los datos extraídos.
Otro detalle interesante de las tácticas de Turla es que tienden a utilizar proveedores de conexión a Internet por satélite localizados en países del Medio Oriente y África. En su investigación, los expertos de Kaspersky Lab han descubierto al grupo Turla utilizando IPs de proveedores localizados en países como Congo, Líbano, Libia, Nigeria, Somalia o Emiratos Árabes Unidos.
La cobertura de estas trasmisiones de satélite que utilizan operadores en estos países normalmente no cubre territorios europeos ni norteamericanos, por lo que es muy difícil para la mayoría de los investigadores de seguridad rastrear tales ataques.
“En el pasado, hemos visto a por lo menos tres actores diferentes que utilizaban enlaces a Internet por satélite para enmascarar sus operaciones. De estos, la solución desarrollada por el grupo Turla es la más interesante e inusual. Ellos son capaces de alcanzar el máximo nivel de anonimato mediante la explotación de una tecnología ampliamente utilizada -Internet por satélite de una vía-. Los atacantes pueden encontrarse en cualquier lugar dentro del alcance de su satélite elegido, una área que puede exceder miles de kilómetros cuadrados", dijo Stefan Tanase, Investigador Senior de Seguridad de Kaspersky Lab. "Esto hace casi imposible rastrear al atacante. Debido a que el uso de estos métodos son cada vez más comunes, es importante que los administradores de sistemas implementen las estrategias correctas de defensa para mitigar tales ataques".
Los productos de Kaspersky Lab detectan de manera eficaz y bloquean el malware utilizado por el actor Turla con los siguientes nombres de detección:
Backdoor.Win32.Turla.*
Rootkit.Win32.Turla.*
HEUR:Trojan.Win32.Epiccosplay.ge
HEUR:Trojan.Win32.Generic