O grupo Turla APT, também conhecido como Snake e Uroboros, é responsável pelas ameaças mais sofisticadas da atualidade. Este grupo de espionagem cibernética está ativo por mais de 10 anos, mas pouco se sabe sobre suas operações, até o ano passado, quando nós publicamos nossa pesquisa sobre o Epic Turla.
Especificamente, esta pesquisa incluiu exemplos da linguagem, destacando que a língua russa é utilizada pelo grupo. Eles usam páginas de códigos 1251, comumente empregadas para processar caracteres cirílicos, e palavras como “Zagruzchik”, que significa “boot loader” em russo.
O que torna o grupo Turla especialmente perigoso e difícil de mapear não é apenas a complexidade de seus métodos, mas o complexo mecanismo de comando-e-controle (C&C) baseado em satélites implementado na fase final do ataque.
Servidores C&C são base para ciberataques avançados. Ao mesmo tempo, podem ser considerados o elo mais fraco na infraestrutura cibercriminosa e são sempre alvos dos investigadores digitais e agências reguladoras.
Há duas boas razões para isso. Em primeiro lugar, esses servidores são usados para controlar todas as operações. Se fosse possível desligá-los, você poderia perturbar ou mesmo interromper todas as ações cibernéticas. Em segundo lugar, servidores C&C podem ser usados para rastrear a origem física do ataque.
É por isso que os responsáveis pelas ameaças estão sempre tentando manter o servidor C&C mais oculto possível. O grupo Turla encontrou uma maneira bastante eficaz de fazê-lo: eles escondem os IPs dos servidores literalmente no céu.
http://twitter.com/Adolfo_Hdez/status/497634453666406400/photo/1
Um dos tipos mais comuns e de baixo custo de ligação à Internet por satélite é aquele apenas para download. Neste caso, os dados de saída do PC do usuário são enviados por linhas convencionais – um serviço com fio ou General Packet Radio (GPRS), – enquanto todo o tráfego de entrada vem do satélite.
No entanto, esta tecnologia tem uma peculiaridade. O tráfego downstream volta para o PC sem criptografia. Em termos simples, qualquer pessoa pode interceptar o tráfego. O grupo Turla usa essa brecha de uma maneira inovadora e bastante audaciosa: para ocultar seu próprio tráfego C&C.
Grupo russo usa satélites em operaçã de ciberespionagem #TurlaAPT
Tweet
O que eles fazem é a seguinte:
1. Mapeiam o tráfego downstream do satélite para identificar os endereços de IP ativos dos usuários que estão online naquele momento.
2. Em seguida, escolhem um número de IP ativo que será utilizado para mascarar o servidor C&C sem o conhecimento do usuário verdadeiro.
3. As máquinas infectadas pelo Turla recebem a instrução para enviar todos os dados para os IPs escolhidos. Os dados viajam através das linhas convencionais para o satélite e, finalmente, dos satélites para os usuários que tiveram seus IPs hackeados.
4. Estes dados são encaminhados para os PCs dos verdadeiros usuários como lixo, enquanto os cibercriminosos começam a buscá-los a partir de conexão via satélites downstream.
Este tipo de satélites abrangem uma área extensa, o que praticamente impossibilita o rastreamento dos receptores, principalmente, a localização física. Para deixar essa perseguição ainda mais difícil, o grupo Turla tende a explorar os provedores de Internet via satélite localizados no Oriente Médio e em países africanos, como Congo, Líbano, Líbia, Níger, Nigéria, Somália ou nos Emirados Árabes Unidos.
A área de abrangência dos satélites que são utilizados pelos operadores nesses países geralmente não cobre os territórios europeus e norte-americanos, deixando ainda mais complicado para os pesquisadores de segurança investigarem esses ataques.
Os ataques realizados pelo grupo Turla tem infectado centenas de computadores em mais de 45 países, incluindo o Cazaquistão, Rússia, China, Vietnã e Estados Unidos. O grupo Turla tem interesses em organizações militares, educacionais, como instituições governamentais, embaixadas e empresas farmacêuticas.
Depois desse péssimo panorama, temos uma excelente notícia. Os usuários dos produtos da Kaspersky Lab estão protegidos. Nossos produtos detectam e bloqueam o malware usado pelo grupo Turla.