Expertos en seguridad de Kaspersky Lab publicaron un informe sobre Turla APT revelando vínculos de uso de satélite para controlar su botnet.
De acuerdo con un nuevo análisis publicado por los expertos de Kaspersky Lab informaron que el popular grupo APT Turla explota la carente de seguridad infraestructura satelital para ocultar operaciones de comando y control.
Turla APT estuvo activo en la última década, los expertos en seguridad consideran que es un grupo de hackers rusos que participan en campañas de espionaje de larga duración patrocinada por el estado.
El APT Turla tiene más de 500 víctimas en 45 países diferentes de todo el mundo, agencias gubernamentales, militares y entidades diplomáticas son blancos privilegiados del grupo.
La explotación de las conexiones a Internet por satélite ofrece algunas ventajas importantes, como que es difícil identificar a los actores de amenazas y la ubicación de sus servidores C&C.
Otra de las ventajas para el uso de enlaces secuestrados es el bajo costo, casi $ 1,000 al año, los malos actores los utilizan para controlar las máquinas infectadas.
"Por un lado, es valioso porque la verdadera ubicación y el hardware del servidor C&C no puede ser fácilmente determinado o apoderado físicamente. Los receptores de Internet basados en satélites pueden ubicarse en cualquier lugar dentro del área cubierta por un satélite, y esto es por lo general bastante grande. El método utilizado por el grupo Turla para secuestrar los enlaces descendentes es altamente anónimo y no requiere de una suscripción a Internet por satélite válida.
Kaspersky explicó que utiliza Turla APT para secuestrar los enlaces DVB-S por satélite (radiodifusión por satélite de vídeo digital), de manera similar a la presentada en el Black Hat del 2010. Esta técnica requiere un equipo mínimo que incluye una antena parabólica, un bloque downconverter bajo nivel de ruido , un sintonizador DVB-S en una tarjeta PCIe dedicado hecho por TBS Technologies, y un PC con Linux.
"La tarjeta de TBS está particularmente bien adaptado a esta tarea, ya que ha dedicado los drivers del kernel de Linux y es compatible con una función conocida como exploración de fuerza bruta que permite hacer pruebas de señales interesantes en amplias gamas de frecuencias", escribieron los investigadores. "Por supuesto, otras tarjetas PCI o PCIe podrían funcionan tan bien, mientras que, en general, las tarjetas basadas en USB son relativamente pobres y deben ser evitadas."
Por otro lado, la desventaja viene del hecho de que Internet por satélite es lento y puede ser inestable. Indican los informes.
Los expertos de Kaspersky especulan que el grupo APT Turla, al igual que otros APT, hacen usode los enlaces de Internet por satélite para sus servidores C&C principalmente para evitar cateos de sus botnet por las autoridades y los ISP.
De acuerdo con un nuevo análisis publicado por los expertos de Kaspersky Lab informaron que el popular grupo APT Turla explota la carente de seguridad infraestructura satelital para ocultar operaciones de comando y control.
Turla APT estuvo activo en la última década, los expertos en seguridad consideran que es un grupo de hackers rusos que participan en campañas de espionaje de larga duración patrocinada por el estado.
El APT Turla tiene más de 500 víctimas en 45 países diferentes de todo el mundo, agencias gubernamentales, militares y entidades diplomáticas son blancos privilegiados del grupo.
 |
| Alcance del Ciberespionaje del Grupo Turla APT |
La explotación de las conexiones a Internet por satélite ofrece algunas ventajas importantes, como que es difícil identificar a los actores de amenazas y la ubicación de sus servidores C&C.
Otra de las ventajas para el uso de enlaces secuestrados es el bajo costo, casi $ 1,000 al año, los malos actores los utilizan para controlar las máquinas infectadas.
"Por un lado, es valioso porque la verdadera ubicación y el hardware del servidor C&C no puede ser fácilmente determinado o apoderado físicamente. Los receptores de Internet basados en satélites pueden ubicarse en cualquier lugar dentro del área cubierta por un satélite, y esto es por lo general bastante grande. El método utilizado por el grupo Turla para secuestrar los enlaces descendentes es altamente anónimo y no requiere de una suscripción a Internet por satélite válida.
Kaspersky explicó que utiliza Turla APT para secuestrar los enlaces DVB-S por satélite (radiodifusión por satélite de vídeo digital), de manera similar a la presentada en el Black Hat del 2010. Esta técnica requiere un equipo mínimo que incluye una antena parabólica, un bloque downconverter bajo nivel de ruido , un sintonizador DVB-S en una tarjeta PCIe dedicado hecho por TBS Technologies, y un PC con Linux.
 |
| Ilustración de como Turla APT abusa de las conexiones satelitales |
"La tarjeta de TBS está particularmente bien adaptado a esta tarea, ya que ha dedicado los drivers del kernel de Linux y es compatible con una función conocida como exploración de fuerza bruta que permite hacer pruebas de señales interesantes en amplias gamas de frecuencias", escribieron los investigadores. "Por supuesto, otras tarjetas PCI o PCIe podrían funcionan tan bien, mientras que, en general, las tarjetas basadas en USB son relativamente pobres y deben ser evitadas."
Por otro lado, la desventaja viene del hecho de que Internet por satélite es lento y puede ser inestable. Indican los informes.
Los expertos de Kaspersky especulan que el grupo APT Turla, al igual que otros APT, hacen usode los enlaces de Internet por satélite para sus servidores C&C principalmente para evitar cateos de sus botnet por las autoridades y los ISP.
