Durante uma investigação sobre a famosa agência de espionagem digital de língua russa Turla, Os pesquisadores da Kaspersky Lab descobriram como evitar a localização de suas atividades e localização física.
Para garantir seu anonimato, essa equipe usa vulnerabilidades nas redes globais de satélites.
Turla é uma equipe avançada de espionagem digital que atua há mais de 8 anos. Os atacantes do grupo Turla infectaram centenas de computadores em mais de 45 países, incluindo Cazaquistão, Rússia, China, Vietnã e Estados Unidos.
As organizações afetadas incluem agências e embaixadas do governo, organizações militares, instituições acadêmicas e de pesquisa e empresas farmacêuticas. Na fase inicial, a Epic backdoor desenvolve o perfil das vítimas. Então – e somente para o nível mais alto – os atacantes nas fases posteriores do ataque usam um extenso mecanismo de comunicação baseado em satélite, que os ajuda a encobrir seus rastros.
As comunicações por satélite são conhecidas principalmente como uma ferramenta para transmitir sinais de televisão e para comunicações seguras. No entanto, eles também são usados para fornecer acesso à Internet. Esses serviços são usados principalmente em áreas remotas, onde todos os outros tipos de acesso à Internet são instáveis e lentos ou não estão disponíveis para todos. Um dos tipos mais populares e baratos de conexões via satélite na Internet é a chamada conexão via satélite unidirecional, que permite apenas o download.
Nesse caso, as solicitações de saída do computador do usuário são comunicadas por linhas convencionais (conexão com fio ou GPRS), com todo o tráfego recebido vindo do satélite.
Essa tecnologia permite que o usuário tenha uma velocidade de download relativamente rápida. No entanto, ele tem uma grande desvantagem: todo o tráfego downstream retorna ao computador sem criptografia. Qualquer usuário inescrupuloso que possua o equipamento e software apropriados e relativamente baratos pode simplesmente monitorar o tráfego e obter acesso a todos os dados que os usuários “baixam” dessas conexões.
A equipe da Turla explora essa fraqueza de uma maneira diferente, usando-a para ocultar a posição do servidor de Comando e Controle (C&C), que é uma das partes mais importantes da infraestrutura maliciosa.
O servidor C&C é essencialmente o “local” de malware que é executado nas máquinas de destino. Descobrir a localização desse servidor pode levar os pesquisadores a descobrir detalhes sobre a entidade por trás de uma empresa.
Veja como a Turla evita esses riscos:
- A equipe primeiro “escuta” o “download” de dados do satélite, a fim de localizar endereços IP ativos de usuários da Internet que estão online no momento.
- Em seguida, ele seleciona um endereço IP a ser usado para cobrir um servidor C&C, sem que o usuário legal saiba sobre ele.
- As máquinas que foram “infectadas” pelo organismo Turla são instruídas a transferir os dados para os endereços IP selecionados dos usuários da Internet via satélite. Os dados viajam através de linhas convencionais para os teletransportes do provedor de satélite da Internet, alcançando o satélite e, finalmente, do satélite para os usuários com os endereços IP selecionados.
Curiosamente, o usuário legítimo cujo endereço IP foi usado pelos atacantes para receber dados de uma máquina “infectada” também receberá esses pacotes de dados, mas dificilmente os notará. Isso ocorre porque os atacantes do Turla atribuem máquinas “infectadas” para enviar dados para portas que, na maioria dos casos, são fechadas por padrão. Assim, o computador do usuário legítimo simplesmente descartará esses pacotes, enquanto o servidor C&C da Turla, que mantém essas portas abertas, receberá e processará os dados “roubados”.
Outro fato interessante sobre as táticas da Turla é que ela tende a usar provedores de conexão à Internet via satélite baseados no Oriente Médio e na África. Em sua pesquisa, os especialistas da Kaspersky Lab identificaram o grupo Turla usando endereços IP de provedores localizados em países como Congo, Líbano, Líbia, Níger, Nigéria, Somália ou Emirados Árabes Unidos.
Os raios de satélite usados por fornecedores nesses países geralmente não cobrem áreas da Europa e da América do Norte, o que dificulta a maioria dos pesquisadores de segurança investigar esses ataques.
“No passado, conhecemos pelo menos três organizações diferentes que usam satélite para cobrir suas atividades. Destes, a solução desenvolvida pela equipe Turla é a mais interessante e incomum. É capaz de atingir o nível absoluto de anonimato, utilizando uma tecnologia amplamente usada, a Internet via satélite unidirecional. Os atacantes podem ser encontrados em qualquer lugar dentro do alcance do satélite escolhido, ou seja, em uma área que pode cobrir milhares de quilômetros quadrados “, disse Stefan Tanase, pesquisador sênior de segurança da Kaspersky Lab. Ele continuou: “Isso torna quase impossível localizar o atacante. À medida que esses métodos se tornam cada vez mais populares, é importante que os administradores de sistemas desenvolvam boas estratégias de defesa para mitigar ataques. ”
Os produtos da Kaspersky Lab identificam e bloqueiam malware usado pelo agente Turla ameaçador com os nomes de código: Backdoor.Win32.Turla *, Rootkit.Win32.Turla *, HEUR: Trojan.Win32.Epiccosplay.gen e HEUR: Trojan .Win32.Generic.
Para obter mais informações sobre os mecanismos de abuso de conexão via satélite usados pela equipe de espionagem digital da Turla, mas também para ver os indicadores de comparação, visite Securelist.com.
Assista a vídeos e saiba mais sobre como os produtos da Kaspersky Lab podem ajudar a protegê-lo das atividades do Grupo Turla em um site especial da empresa.
Além disso, mais informações sobre as atividades de outras equipes de espionagem digital russas estão disponíveis em outro site especial da Kaspersky Lab.
Para obter mais informações sobre a investigação de ataques direcionados avançados, assista a um pequeno vídeo da Kaspersky Lab.
