Kaspersky Lab ha avviato un’indagine per scoprire i movimenti del gruppo criminale di cyberspionaggio russo Turla, scoprendo un’interessante modalità per sfuggire ai sistemi di rilevamento impedendo la localizzazione e la scoperta delle proprie attività.

Il gruppo russo attivo da più di otto anni e causa di centinaia di computer infettati tra Kazakistan, Russia, Cina, Vietnam e Stati Uniti è riuscito, infatti, ha eludere il problema dell’anonimato sfruttando i punti deboli della sicurezza delle reti satellitari mondiali. Tali comunicazioni non vengono utilizzate semplicemente come strumento di trasmissione televisiva e comunicazioni di sicurezza, ma anche per fornire accesso a Internet. Questi servizi vengono utilizzati soprattutto in località remote dove tutti gli altri tipi di accesso a Internet sono instabili o lenti, o addirittura inesistenti. Una delle connessioni Internet satellitari più diffuse ed economiche è la cosiddetta connessione downstream-only.

TechPrincess_Kaspersky_Turla

Con tale sistema le richieste in uscita dal PC utente vengono comunicate attraverso linee convenzionali (una connessione cablata o GPRS), con tutto il traffico in entrata proveniente dal satellite. Ciò consente all’utente di utilizzare una velocità di download abbastanza rapida ma con qualche svantaggio: tutto il traffico downstream ritorna al PC in chiaro.

Il gruppo criminale sfrutta esattamente questa falla per nascondere la posizione dei propri server C&C (Command and Control), l’homebase per i malware dislocati sui PC delle vittime. Il primo passo è l’ascolto del downstream proveniente dal satellite allo scopo di identificare indirizzi IP attivi di utenti che utilizzano collegamenti Internet satellitari e che si trovano online in quel preciso momento. Successivamente il gruppo sceglie un indirizzo IP online da utilizzare per mascherare il server C&C, senza che il legittimo utente ne sia a conoscenza. Ed infine le macchine infettate vengono istruite su come estrapolare i dati dagli IP prescelti di utenti che utilizzano collegamenti satellitari a Internet. I dati viaggiano attraverso linee convenzionali fino ai teleport di un Internet provider satellitare per poi arrivare al satellite e infine passare agli IP prescelti.

TechPrincess_Kaspersky_Turla

Il fatto curioso è che anche l’utente prescelto per prelevare i dati dalla macchina infetta riceverà il pacchetto dati in maniera del tutto inconsapevole, senza rendersene conto. Ciò perché le macchine infettate sono istruite allo scopo di inviare dati a porte che, nella maggioranza dei casi, sono chiuse di default. Ne consegue che il PC di un utente legittimo lascerà uscire questi pacchetti mentre il server C&C di Turla, che tiene queste porte aperte, riceverà e processerà i dati estratti.

La ricerca sviluppata da Kaspersky Lab ha, inoltre, evidenziato che i maggiori IP rilevati provengono direttamente dal Congo, dal Libano, dalla Libia, dal Niger, dalla Nigeria, dall Somalia e dagli Emirati Arabi Uniti. Il raggio dei satelliti utilizzati dagli operatori presenti in questi Paesi generalmente non coprono territori come Europa o Nord America, rendendo quindi estremamente difficile per la maggior parte degli esperti di sicurezza indagare su questi attacchi.

TechPrincess_Kaspersky_Turla

I prodotti di Kaspersky Lab riescono oggi a rilevare e bloccare con successo il malware utilizzato dalla minaccia Turla rilevandolo come Backdoor.Win32.Turla., Rootkit.Win32.Turla., HEUR:Trojan.Win32.Epiccosplay.gen e  HEUR:Trojan.Win32.Generic.

In passato abbiamo visto almeno tre diversi gruppi criminali che utilizzavano collegamenti satellitari a Internet per mascherare le operazioni – ha dichiarato Stefan Tanase, Senior Security Researcher di Kaspersky Lab – Di questi, la soluzione sviluppata dal gruppo Turla risulta essere quella più interessante ed originale. Sono in grado di raggiungere il massimo livello di anonimato attraverso una tecnologia molto diffusa – ovvero la connessione Internet satellitare one-way. I criminali possono essere basati in qualsiasi parte del mondo nel raggio del satellite prescelto: un’area che può misurare migliaia di chilometri quadrati. Questo rende quasi impossibile rintracciare i criminali. Si tratta però di metodi sempre più diffusi ed è quindi importante che gli amministratori di sistema impieghino le corrette strategie di difesa per mitigare questi attacchi“.