Turla, uno de los agentes de ciberespionaje más populares del mundo de origen ruso, evade la detección de su actividad y de su ubicación física con la ayuda de algunas debilidades de seguridad encontradas en las redes satelitales globales, de acuerdo con un nuevo estudio publicado por la firma de seguridad de Kaspersky Lab.
El grupo de ciberespionaje Turla ha estado activo desde hace más de ocho años y logró infectar a cientos de computadoras en más de 45 países entre los cuales figuran Kazajstáb, Rusia, China, Vietnam y Estados Unidos, aunque los más vulnerables han sido México, Brasil y Ecuador.
Se conoce que los objetos de este ciberespionaje desde Rusia , son instituciones gubernamentales y embajadas así como entidades militares, de educación, investigación y farmacéuticas.
Pero ¿cuál es el modo de actuar de este grupo? Se ha identificado que en una primera etapa, la puerta trasera Epic Turla realiza perfiles de las víctimas. Posteriormente, sólo para los objetivos con los perfiles más altos, los atacantes utilizan un amplio mecanismo de comunicación basado en satélites en las etapas avanzadas del ataque. Este último movimiento les permite ocultar su rastro ya que se realiza bajo completo anonimato.
Generalmente las comunicaciones por satélite son conocidas como herramientas para la transmisión de señales para programas de televisión e intercambio de información en procesos de comunicación que requieren un alto nivel de seguridad.
No obstante, también se les ha sacado provecho para el acceso a internet, principalmente, en lugares donde no es tan fácil ofrecer otros canales de conexión a internet o en donde los que existen son inestables y lentos.
En este caso concreto las solicitudes de salida de una computadora de un usuario se comunican mediante las líneas convencionales (conexión alámbrica o GPRS) de forma que todo todo el tráfico de ingreso viene del satélite.
Esta tecnología brinda al usuario la oportunidad de tener una velocidad de descarga relativamente más rápida, lamentablemente existe una desventaja y es que todo el tráfico de descarga puede ser cifrado, lo cual significa que cualquier usuario con malas intenciones –y las herramientas necesarias– podría interceptar el tráfico para acceder a todos los datos que los usuarios de estos enlaces descargas.
Ahí es donde actúa el grupo Turla, que aprovecha este fallo de una forma diferente, la utiliza para esconder la ubicación de sus servidores de Comando y Control, una de las partes más importantes de la infraestructura maliciosa. El servidor C&C es la base del malware implantado en las máquinas seleccionadas.
De los grupos ciberdelincuentes, que utilizan enlaces a internet por satélite para enmascarar sus operaciones identificados recientemente, Turla es uno de los que más ha llamado la atención ya que son capaces de alcanzar el máximo nivel de anonimato mediante la explotación del internet vía satélite.
Los delincuentes pueden estar en cualquier lugar dentro del alcance de su satélite elegido, un área que puede exceder miles de kilómetros cuadrados, lo cual imposibilita el rastreo. No obstante, contar con un sistema de detección de amenazas en nuestros dispositivos siempre disminuye el riesgo de sufrir los efectos secundarios de un ataque como éste, sobre todo, si te encuentras en alguno de los países vulnerables mencionados.
Hicimos un guía con las herramientas fundamentales y gratuitas para limpiar, acelerar, ahorrar batería y…
Versiones 2.9 y anteriores de la aplicación “PSafe Total” ya no serán actualizadas
Garantiza tu privacidad, aunque te hayan robado el teléfono
Trucos simples pero fundamentales para bloquear los ataques de bandidos a tu teléfono
Aprende también cómo removerlas y a elegir los datos que pueden ser accedidos
Conoce la herramienta que identifica y bloquea enlaces maliciosos en tiempo real