{"id":5662,"date":"2015-09-14T07:38:39","date_gmt":"2015-09-14T07:38:39","guid":{"rendered":"https:\/\/kasperskydaily.com\/brazil\/?p=5662"},"modified":"2020-02-26T13:24:12","modified_gmt":"2020-02-26T16:24:12","slug":"turla-apt-exploiting-satellites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/turla-apt-exploiting-satellites\/5662\/","title":{"rendered":"Grupo russo usa sat\u00e9lites em opera\u00e7\u00e3o de ciberespionagem"},"content":{"rendered":"

O grupo Turla APT, tamb\u00e9m conhecido como Snake e Uroboros, \u00e9 respons\u00e1vel pelas amea\u00e7as mais sofisticadas da atualidade. Este grupo de espionagem cibern\u00e9tica est\u00e1 ativo por mais de 10 anos, mas pouco se sabe sobre suas opera\u00e7\u00f5es, at\u00e9 o ano passado, quando n\u00f3s publicamos nossa pesquisa sobre o Epic Turla<\/a>.<\/p>\n

Especificamente, esta pesquisa incluiu exemplos da linguagem, destacando que a l\u00edngua russa \u00e9 utilizada pelo grupo. Eles usam p\u00e1ginas de c\u00f3digos 1251, comumente empregadas para processar caracteres cir\u00edlicos, e palavras como \u201cZagruzchik\u201d, que significa \u201cboot loader\u201d em russo.<\/p>\n

O que torna o grupo Turla especialmente perigoso e dif\u00edcil de mapear n\u00e3o \u00e9 apenas a complexidade de seus m\u00e9todos, mas o complexo mecanismo de comando-e-controle (C&C) baseado em sat\u00e9lites implementado na fase final do ataque.<\/p>\n

Servidores C&C s\u00e3o base para ciberataques avan\u00e7ados. Ao mesmo tempo, podem ser considerados o elo mais fraco na infraestrutura cibercriminosa e s\u00e3o sempre alvos dos investigadores digitais e ag\u00eancias reguladoras.<\/p>\n

H\u00e1 duas boas raz\u00f5es para isso. Em primeiro lugar, esses servidores s\u00e3o usados para controlar todas as opera\u00e7\u00f5es. Se fosse poss\u00edvel deslig\u00e1-los, voc\u00ea poderia perturbar ou mesmo interromper todas as a\u00e7\u00f5es cibern\u00e9ticas. Em segundo lugar, servidores C&C podem ser usados para rastrear a origem f\u00edsica do ataque.<\/p>\n

\u00c9 por isso que os respons\u00e1veis pelas amea\u00e7as est\u00e3o sempre tentando manter o servidor C&C mais oculto poss\u00edvel. O grupo Turla encontrou uma maneira bastante eficaz de faz\u00ea-lo: eles escondem os IPs dos servidores literalmente no c\u00e9u.<\/p>\n

http:\/\/twitter.com\/Adolfo_Hdez\/status\/497634453666406400\/photo\/1<\/a><\/p>\n

Um dos tipos mais comuns e de baixo custo de liga\u00e7\u00e3o \u00e0 Internet por sat\u00e9lite \u00e9 aquele apenas para download. Neste caso, os dados de sa\u00edda do PC do usu\u00e1rio s\u00e3o enviados por linhas convencionais \u2013 um servi\u00e7o com fio ou General Packet Radio (GPRS), \u2013 enquanto todo o tr\u00e1fego de entrada vem do sat\u00e9lite.<\/p>\n

No entanto, esta tecnologia tem uma peculiaridade. O tr\u00e1fego downstream volta para o PC sem criptografia. Em termos simples, qualquer pessoa pode interceptar o tr\u00e1fego. O grupo Turla usa essa brecha de uma maneira inovadora e bastante audaciosa: para ocultar seu pr\u00f3prio tr\u00e1fego C&C.<\/p>\n

Grupo russo usa sat\u00e9lites em opera\u00e7\u00e3 de ciberespionagem #TurlaAPT<\/p>Tweet<\/a><\/blockquote>\n

O que eles fazem \u00e9 a seguinte:<\/p>\n

1. Mapeiam o tr\u00e1fego downstream do sat\u00e9lite para identificar os endere\u00e7os de IP ativos dos usu\u00e1rios que est\u00e3o online naquele momento.<\/p>\n

2. Em seguida, escolhem um n\u00famero de IP ativo que ser\u00e1 utilizado para mascarar o servidor C&C sem o conhecimento do usu\u00e1rio verdadeiro.<\/p>\n

3. As m\u00e1quinas infectadas pelo Turla recebem a instru\u00e7\u00e3o para enviar todos os dados para os IPs escolhidos. Os dados viajam atrav\u00e9s das linhas convencionais para o sat\u00e9lite e, finalmente, dos sat\u00e9lites para os usu\u00e1rios que tiveram seus IPs hackeados.<\/p>\n

4. Estes dados s\u00e3o encaminhados para os PCs dos verdadeiros usu\u00e1rios como lixo, enquanto os cibercriminosos come\u00e7am a busc\u00e1-los a partir de conex\u00e3o via sat\u00e9lites downstream.<\/p>\n

Este tipo de sat\u00e9lites abrangem uma \u00e1rea extensa, o que praticamente impossibilita o rastreamento dos receptores, principalmente, a localiza\u00e7\u00e3o f\u00edsica. Para deixar essa persegui\u00e7\u00e3o ainda mais dif\u00edcil, o grupo Turla tende a explorar os provedores de Internet via sat\u00e9lite localizados no Oriente M\u00e9dio e em pa\u00edses africanos, como Congo, L\u00edbano, L\u00edbia, N\u00edger, Nig\u00e9ria, Som\u00e1lia ou nos Emirados \u00c1rabes Unidos.<\/p>\n

<\/p>\n

A \u00e1rea de abrang\u00eancia dos sat\u00e9lites que s\u00e3o utilizados pelos operadores nesses pa\u00edses geralmente n\u00e3o cobre os territ\u00f3rios europeus e norte-americanos, deixando ainda mais complicado para os pesquisadores de seguran\u00e7a investigarem esses ataques.<\/p>\n

Os ataques realizados pelo grupo Turla tem infectado centenas de computadores em mais de 45 pa\u00edses, incluindo o Cazaquist\u00e3o, R\u00fassia, China, Vietn\u00e3 e Estados Unidos. O grupo Turla tem interesses em organiza\u00e7\u00f5es militares, educacionais, como institui\u00e7\u00f5es governamentais, embaixadas e empresas farmac\u00eauticas.<\/p>\n

Depois desse p\u00e9ssimo panorama, temos uma excelente not\u00edcia. Os usu\u00e1rios dos produtos da Kaspersky Lab est\u00e3o protegidos. Nossos produtos detectam e bloqueam o malware usado pelo grupo Turla.<\/p>\n","protected":false},"excerpt":{"rendered":"

O grupo Turla APT, tamb\u00e9m conhecido como Snake e Uroboros, \u00e9 respons\u00e1vel pelas amea\u00e7as mais sofisticadas da atualidade. Este grupo de espionagem cibern\u00e9tica est\u00e1 ativo por mais de 10 anos,<\/p>\n","protected":false},"author":421,"featured_media":5663,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[71,826,825],"class_list":{"0":"post-5662","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apt","10":"tag-ciberspionagem","11":"tag-turla"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/turla-apt-exploiting-satellites\/5662\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5062\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/3526\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5945\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/turla-apt-exploiting-satellites\/6210\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/6171\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/turla-apt-exploiting-satellites\/6581\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/turla-apt-exploiting-satellites\/6131\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/turla-apt-exploiting-satellites\/8845\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/turla-apt-exploiting-satellites\/9771\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5662"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5662\/revisions"}],"predecessor-version":[{"id":14404,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5662\/revisions\/14404"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/5663"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}