Método de grupo russo tem como objetivo manter anonimato de seus servidores, diz Kaspersky Lab. Invasores tem usado mesma técnica há oito anos.

Um grupo de ciberespionagem de origem russa – que tem como alvo o governo, relações diplomáticas, militares e organizações de pesquisa e educação – tem usado falhas de segurança em redes de satélites globais com o objetivo de esconder seus servidores.

O grupo é conhecido como Epic Turla, Snake ou ainda Uroburos e apesar de algumas de suas operações terem sido descobertas pela primeira vez em fevereiro de 2014, ele se mantém ativo, pelo menos, nos últimos oito anos.

Os invasores também são famosos por usarem malware altamente sofisticado para Windows e Linux.

De acordo com um novo relatório divulgado pela Kaspersky Lab, o grupo conta com outro truque na manga: o sequestro de conexões de internet através de padrão DVB-S Digital Video Broadcasting Satellite.

A comunicação por satélite é utilizada com mais frequência como ferramenta para transmissão de TV e para conexões seguras. Mas ela também é usada para dar acesso à internet.  Este serviço é utilizado principalmente em locais remotos, onde as demais formas de conexão são instáveis e lentas ou simplesmente não existem. Um dos tipos de conexão via satélite mais comum e acessível é a que utiliza conexões do tipo downstream.

Neste caso as solicitações feitas pelo PC da vítima são transmitidas pelas linhas convencionais (conexão fixa ou GPRS), com todo o tráfego de entrada vindo do satélite. Esta tecnologia permite ao usuário obter uma velocidade de download relativamente rápida. No entanto, há uma grande desvantagem: todo o tráfego downstream volta para o PC sem criptografia. Ou seja, qualquer usuário mal intencionado com um conjunto barato e simples de equipamentos e softwares poderia facilmente interceptar esta comunicação e acessar todos os dados que os usuários dessas conexões estiverem baixando.

O malware Turla se aproveita desta fragilidade de uma maneira diferente: ela serve para esconder a localização de seus servidores de Comando e Controle (C&C), uma das partes mais importantes de sua infraestrutura maliciosa. O servidor C&C é essencialmente a central de controle do malware nas máquinas infectadas. A descoberta de sua localização pode levar os investigadores a revelar mais detalhes sobre o autor por trás da operação.

A técnica não é nova e já foi apresentada em conferências de segurança no passado. No entanto, há evidências que sugerem que o grupo Turla a tem usado desde 2007.

Outra coisa interessante nas táticas do Turla é que ele tende a usar provedores de comunicação via satélite localizados no Oriente Médio e nos países africanos.

Durante a pesquisa, os especialistas da Kaspersky Lab identificaram o malware usando IPs localizados em países como Congo, Líbano, Líbia, Níger, Nigéria, Somália e Emirados Árabes Unidos. Isso faz com que o sequestro se torne difícil de ser detectado por pesquisadores de segurança com base nos EUA ou na Europa, já que os feixes de satélite não podem ser monitorados a partir dessas regiões.

O método é tecnicamente fácil de implementar e proporciona melhor anonimato para os invasores do que alugar um servidor virtual privado de uma empresa de hospedagem ou usar um servidor hackeado para comando e controle, segundo os pesquisadores da Kaspersky.

“Se este método for generalizado entre cibercriminosos, isso representará um problema sério para a segurança de TI e comunidades contra-inteligência”, alertaram os pesquisadores da Kaspersky.

Fonte: IDGNow

Texto Original:
http://idgnow.com.br/internet/2015/09/11/grupo-de-ciberespionagem-se-aproveita-de-falhas-de-seguranca-em-satelites/