Sicurezza

Turla: quando la realtà è una spy-story

18

Turla è il nome di un sofisticatissimo gruppo di cyberspionaggio, che è stato attivo per più di 8 anni. I criminali che si celano dietro Turla hanno infettato centinaia di computer in più di 45 Stati, inclusi Kazakistan, Russia, Cina, Vietnam e Stati Uniti. Le organizzazioni che sono state infettate includono istituzioni governative e ambasciate così come istituzioni che operano in campo militare, istruzione, ricerca e aziende farmaceutiche. Nella fase iniziale, la backdoor Epic esegue una mappatura delle vittime. Solo per gli obiettivi di alto profilo, i criminali utilizzano, nella fase successiva, un esteso meccanismo di comunicazione satellitare in grado di nascondere le proprie tracce.

Le comunicazioni satellitari sono conosciute soprattutto come strumento di trasmissione televisiva e comunicazioni di sicurezza ma vengono utilizzate anche per fornire accesso a Internet. Questi servizi vengono utilizzati soprattutto in località remote dove tutti gli altri tipi di accesso a Internet sono instabili o lenti, o addirittura inesistenti. Una delle connessioni Internet satellitari più diffuse ed economiche è la cosiddetta connessione downstream-only.

In questo caso, le richieste in uscita dal PC utente vengono comunicate attraverso linee convenzionali (una connessione cablata o GPRS), con tutto il traffico in entrata proveniente dal satellite. Questa tecnologia consente all’utente di utilizzare una velocità di download abbastanza rapida che nasconde però uno svantaggio: tutto il traffico downstream ritorna al PC in chiaro. Qualsiasi utente che abbia cattive intenzioni spendendo poco può dotarsi di un software e di un set di attrezzature che gli consentono di intercettare il traffico e ottenere l’accesso a tutti i dati scaricati dagli utenti.

Il gruppo criminale Turla approfitta di questa debolezza in modo del tutto diverso: la sfrutta per nascondere la posizione dei propri server C&C (Command and Control), una delle parti più importanti di questa infrastruttura dannosa. Il server C&C è essenzialmente una “homebase” per i malware dislocati sui PC delle vittime. Scoprire dov’è posizionato il server può portare gli investigatori a individuare i dettagli di chi sta dietro all’operazione. Ecco come il gruppo criminale Turla sta evitando questi rischi:

  1. Come prima cosa il gruppo “ascolta” il downstream proveniente dal satellite allo scopo di identificare indirizzi IP attivi di utenti che utilizzano collegamenti Internet satellitari e che si trovano online in quel preciso momento.
  2. In un secondo momento viene scelto un indirizzo IP online da utilizzare per mascherare il server C&C, senza che il legittimo utente ne sia a conoscenza.
  3. Le macchine infettate da Turla vengono poi istruite su come estrapolare i dati dagli IP prescelti di utenti che utilizzano collegamenti satellitari a Internet. I dati viaggiano attraverso linee convenzionali fino ai teleport di un Internet provider satellitare per poi arrivare al satellite e infine passare agli IP prescelti.

Curiosamente, anche l’utente il cui indirizzo IP è stato utilizzato dai criminali per prelevare i dati dalla macchina infetta, riceverà il pacchetto dati senza però rendersene conto. Questo accade perché i criminali del gruppo Turla istruiscono le macchine infette ad inviare dati a porte che, nella maggioranza dei casi, sono chiuse di default. Ne consegue che il PC di un utente legittimo lascierà uscire questi pacchetti mentre il server C&C di Turla, che tiene queste porte aperte, riceverà e processerà i dati estratti.

Un altro aspetto importante delle tattiche utilizzate da Turla riguarda la tendenza ad utilizzare i provider della connessione Internet satellitare dislocati in Medio Oriente o in Africa. L’indagine svolta dagli esperti di Kaspersky Lab ha consentito di individuare il gruppo criminale che si cela dietro Turla utilizzando gli IP di provider situati in Congo, Libano, Libia, Niger, Nigeria, Somalia e Emirati Arabi Uniti.

Il raggio dei satelliti utilizzati dagli operatori presenti in questi Paesi generalmente non coprono territori come Europa o Nord America, rendendo quindi estremamente difficile per la maggior parte degli esperti di sicurezza indagare su questi attacchi.

In passato abbiamo visto almeno tre diversi gruppi criminali che utilizzavano collegamenti satellitari a Internet per mascherare le operazioni. Di questi, la soluzione sviluppata dal gruppo Turla risulta essere quella più interessante ed originale. Sono in grado di raggiungere il massimo livello di anonimato attraverso una tecnologia molto diffusa – ovvero la connessione Internet satellitare one-way. I criminali possono essere basati in qualsiasi parte del mondo nel raggio del satellite prescelto: un’area che può misurare migliaia di chilometri quadrati” – afferma Stefan Tanase, Senior Security Researcher di Kaspersky Lab.Questo rende quasi impossibile rintracciare i criminali. Si tratta però di metodi sempre più diffusi ed è quindi importante che gli amministratori di sistema impieghino le corrette strategie di difesa per mitigare questi attacchi.”

Ultime notizie
Economia

Eurispes, Fara: “Lo Stato torni proprietario e gestore delle grandi infrastrutture del paese”

"Autostrade, telecomunicazioni, energia, porti e grande logistica: dopo gli anni delle privatizzazioni per fare cassa, il Paese deve tornare proprietario e gestore delle grandi infrastrutture e dire basta allo shopping delle multinazionali straniere"
di redazione
Il punto

Per rimettere in corsa l’Italia, veloci pit stop, non megariforme

È la mancanza di infrastrutture il primo freno alla crescita del Paese. Lo Stato spende meno di 20 miliardi di euro l’anno,...
di Corrado Giustiniani
International

Così la “Fortezza Europa” avalla i respingimenti in mare

Negli ultimi anni l’Unione europea è stata protagonista di una gestione sempre più securitaria dei flussi migratori che hanno investito il proprio territorio. La tesi viene spiegat in un saggio di Marco Omizzolo e Pina Sodano, presentato a Wocmes 2018, Congresso mondiale di studi mediorientali.
di Marco Omizzolo
International

Proposta shock: “Il voto ‘ignorante’ valga meno di quello informato”

Il suffragio universale? Sopravvalutato. Il voto ‘ignorante’ valga meno di quello ‘informato’. Il voto ponderato é la proposta di Dambisa Moyo, una importante economista americana, originaria dello Zambia, autrice del libro Edge of chaos
di Alfonso Lo Sardo
Sondaggi & Ricerche

Con un animale in casa, niente viaggio per la metà dei padroni

Nell’ultimo anno oltre 2 italiani su 10 hanno confessato di aver speso di più per viaggi e vacanze, nonostante la crisi non sia ancora del tutto superata. Ma l'amore per i propri animali e la paura del terrorismo frenano la voglia di viaggi.
di redazione
Salute

Il Piano Sanità del ministro Grillo: più fondi e meno liste d’attesa

Sanità e salute: il neo ministro Giulia Grillo ha illustrato le linne programmatiche del suo mandato. Vaccini, risorse per la sanità, liste d’attesa da ridurre e aumento della trasparenza.
di redazione
Ambiente

Porto Hub di Palermo. “Piano ecosostenibile da 435.000 posti”

Un nuovo porto Hub a Palermo: è il progetto dell’Eurispes, presentato a palazzo d’Orleans, sede della presidenza della Regione. Tutti i dettagli
di Alfonso Lo Sardo
Intervista

Educazione civica nelle scuole, Bruno Assumma: “Magistra vitae”

"L'educazione civica la personalità deve servire a stimolare una visione della vita e un "modus operandi" nella società", sostiene il professor Assumma.
di Valentina Renzopaoli
Intervista

Stefano Molina: «Educazione civica mirata allo sviluppo sostenibile»

Educazione civica nelle scuole: "Sì all'insegnamento dell'educazione civica, no al voto. La cittadinanza globale non è istruzione, ma educazione", sostiene Stefano Molina della Fondazione Agnelli
di Corrado Giustiniani
Intervista

Romeo (Lega): «La difesa deve essere legittima sempre»

Legittima difesa: "Se una persona sa che svaligiando una casa la farà sempre franca, non avrà nessun incentivo a smettere di delinquere". Il dibattito prosegue con l'opinione di Massimiliano Romeo, capogruppo della Lega al Senato.
di Corrado Giustiniani