Desde hace más de 8 años que existe Turla, un sofisticado grupo de ciberespionaje de habla rusa, quienes evaden la detección de sus actividades y ubicación gracias a las debilidades de seguridad en las redes de satélites globales.
Las comunicaciones por satélite son conocidas principalmente como herramientas para la transmisión de programas de televisión y para comunicaciones seguras; sin embargo, también se utilizan para tener acceso a Internet. Estos servicios se utilizan principalmente en lugares remotos donde otros tipos de acceso a Internet son inestables y lentos o incluso no existen.
Este grupo ha sido partícipe en la infección de cientos de computadores en más de 45 países alrededor del mundo, pero ojo, no cualquier tipo de computadores. Turla ataca instituciones gubernamentales y embajadas, así como entidades militares, de educación, investigación y farmacéuticas.
Ellos generaron un backdoor que realiza perfiles de víctimas. ¿Su nombre? Epic Turla. Luego, sólo para los objetivos con los perfiles más altos, los atacantes usan un amplio mecanismo de comunicación basado en satélites en las etapas avanzadas del ataque, lo cual les ayuda a ocultar su rastro.
En definitiva, Turla utiliza los satélites para esconder la ubicación de sus servidores de comando y control (C&C), una de las partes más importantes de su infraestructura maliciosa. El servidor C&C es en esencia una “base” para el malware implantado en las máquinas seleccionadas. El descubrimiento de la ubicación de dicho servidor puede conducir a los investigadores a descubrir detalles acerca del actor que se encuentra detrás de la operación, de manera que así es como el grupo Turla está evitando estos riesgos.
Otro detalle interesante de las tácticas que utiliza este grupo de cibercriminales es que tienden a utilizar proveedores de conexión a Internet por satélite localizados en países del Medio Oriente y Africanos. En su investigación, los expertos de Kaspersky Lab, quienes han expuesto toda esta información sobre Turla, descubrieron a estos malhechores utilizando IPs de proveedores localizados en países como Congo, Líbano, Libia, Nigeria, Somalia o los Emiratos Árabes Unidos.
