Turla: usa satélites para um nível absoluto de anonimato

Durante uma investigação sobre a famosa agência de espionagem digital de língua russa Turla, Os pesquisadores da Kaspersky Lab descobriram como evitar a localização de suas atividades e localização física.

Para garantir seu anonimato, essa equipe usa vulnerabilidades nas redes globais de satélites.Turla

Turla √© uma equipe avan√ßada de espionagem digital que atua h√° mais de 8 anos. Os atacantes do grupo Turla infectaram centenas de computadores em mais de 45 pa√≠ses, incluindo Cazaquist√£o, R√ļssia, China, Vietn√£ e Estados Unidos.

As organiza√ß√Ķes afetadas incluem ag√™ncias e embaixadas do governo, organiza√ß√Ķes militares, institui√ß√Ķes acad√™micas e de pesquisa e empresas farmac√™uticas. Na fase inicial, a Epic backdoor desenvolve o perfil das v√≠timas. Ent√£o – e somente para o n√≠vel mais alto – os atacantes nas fases posteriores do ataque usam um extenso mecanismo de comunica√ß√£o baseado em sat√©lite, que os ajuda a encobrir seus rastros.

As comunica√ß√Ķes por sat√©lite s√£o conhecidas principalmente como uma ferramenta para transmitir sinais de televis√£o e para comunica√ß√Ķes seguras. No entanto, eles tamb√©m s√£o usados ‚Äč‚Äčpara fornecer acesso √† Internet. Esses servi√ßos s√£o usados ‚Äč‚Äčprincipalmente em √°reas remotas, onde todos os outros tipos de acesso √† Internet s√£o inst√°veis ‚Äč‚Äče lentos ou n√£o est√£o dispon√≠veis para todos. Um dos tipos mais populares e baratos de conex√Ķes via sat√©lite na Internet √© a chamada conex√£o via sat√©lite unidirecional, que permite apenas o download.

Nesse caso, as solicita√ß√Ķes de sa√≠da do computador do usu√°rio s√£o comunicadas por linhas convencionais (conex√£o com fio ou GPRS), com todo o tr√°fego recebido vindo do sat√©lite.

Essa tecnologia permite que o usu√°rio tenha uma velocidade de download relativamente r√°pida. No entanto, ele tem uma grande desvantagem: todo o tr√°fego downstream retorna ao computador sem criptografia. Qualquer usu√°rio inescrupuloso que possua o equipamento e software apropriados e relativamente baratos pode simplesmente monitorar o tr√°fego e obter acesso a todos os dados que os usu√°rios “baixam” dessas conex√Ķes.

A equipe da Turla explora essa fraqueza de uma maneira diferente, usando-a para ocultar a posição do servidor de Comando e Controle (C&C), que é uma das partes mais importantes da infraestrutura maliciosa.

O servidor C&C √© essencialmente o “local” de malware que √© executado nas m√°quinas de destino. Descobrir a localiza√ß√£o desse servidor pode levar os pesquisadores a descobrir detalhes sobre a entidade por tr√°s de uma empresa.

Veja como a Turla evita esses riscos:

  1. A equipe primeiro “escuta” o “download” de dados do sat√©lite, a fim de localizar endere√ßos IP ativos de usu√°rios da Internet que est√£o online no momento.
  2. Em seguida, ele seleciona um endereço IP a ser usado para cobrir um servidor C&C, sem que o usuário legal saiba sobre ele.
  3. As m√°quinas que foram “infectadas” pelo organismo Turla s√£o instru√≠das a transferir os dados para os endere√ßos IP selecionados dos usu√°rios da Internet via sat√©lite. Os dados viajam atrav√©s de linhas convencionais para os teletransportes do provedor de sat√©lite da Internet, alcan√ßando o sat√©lite e, finalmente, do sat√©lite para os usu√°rios com os endere√ßos IP selecionados.

Curiosamente, o usu√°rio leg√≠timo cujo endere√ßo IP foi usado pelos atacantes para receber dados de uma m√°quina “infectada” tamb√©m receber√° esses pacotes de dados, mas dificilmente os notar√°. Isso ocorre porque os atacantes do Turla atribuem m√°quinas “infectadas” para enviar dados para portas que, na maioria dos casos, s√£o fechadas por padr√£o. Assim, o computador do usu√°rio leg√≠timo simplesmente descartar√° esses pacotes, enquanto o servidor C&C da Turla, que mant√©m essas portas abertas, receber√° e processar√° os dados “roubados”.serpent_map-4-hires

Outro fato interessante sobre as t√°ticas da Turla √© que ela tende a usar provedores de conex√£o √† Internet via sat√©lite baseados no Oriente M√©dio e na √Āfrica. Em sua pesquisa, os especialistas da Kaspersky Lab identificaram o grupo Turla usando endere√ßos IP de provedores localizados em pa√≠ses como Congo, L√≠bano, L√≠bia, N√≠ger, Nig√©ria, Som√°lia ou Emirados √Ārabes Unidos.

Os raios de sat√©lite usados ‚Äč‚Äčpor fornecedores nesses pa√≠ses geralmente n√£o cobrem √°reas da Europa e da Am√©rica do Norte, o que dificulta a maioria dos pesquisadores de seguran√ßa investigar esses ataques.

“No passado, conhecemos pelo menos tr√™s organiza√ß√Ķes diferentes que usam sat√©lite para cobrir suas atividades. Destes, a solu√ß√£o desenvolvida pela equipe Turla √© a mais interessante e incomum. √Č capaz de atingir o n√≠vel absoluto de anonimato, utilizando uma tecnologia amplamente usada, a Internet via sat√©lite unidirecional. Os atacantes podem ser encontrados em qualquer lugar dentro do alcance do sat√©lite escolhido, ou seja, em uma √°rea que pode cobrir milhares de quil√īmetros quadrados “, disse Stefan Tanase, pesquisador s√™nior de seguran√ßa da Kaspersky Lab. Ele continuou: “Isso torna quase imposs√≠vel localizar o atacante. √Ä medida que esses m√©todos se tornam cada vez mais populares, √© importante que os administradores de sistemas desenvolvam boas estrat√©gias de defesa para mitigar ataques. ‚ÄĚ

Os produtos da Kaspersky Lab identificam e bloqueiam malware usado pelo agente Turla ameaçador com os nomes de código: Backdoor.Win32.Turla *, Rootkit.Win32.Turla *, HEUR: Trojan.Win32.Epiccosplay.gen e HEUR: Trojan .Win32.Generic.

Para obter mais informa√ß√Ķes sobre os mecanismos de abuso de conex√£o via sat√©lite usados ‚Äč‚Äčpela equipe de espionagem digital da Turla, mas tamb√©m para ver os indicadores de compara√ß√£o, visite Securelist.com.

Assista a vídeos e saiba mais sobre como os produtos da Kaspersky Lab podem ajudar a protegê-lo das atividades do Grupo Turla em um site especial da empresa.

Al√©m disso, mais informa√ß√Ķes sobre as atividades de outras equipes de espionagem digital russas est√£o dispon√≠veis em outro site especial da Kaspersky Lab.

Para obter mais informa√ß√Ķes sobre a investiga√ß√£o de ataques direcionados avan√ßados, assista a um pequeno v√≠deo da Kaspersky Lab.