Kaspersky ha descubierto evidencias de hackers de gobierno que utilizan las comunicaciones vía satélite para ocultar la ubicación y las actividades de campañas de malware sobre amenazas persistentes avanzadas (APT por sus siglas en inglés).

La firma de seguridad afirma tener pruebas de que uno de los grupos es de origen ruso y utiliza el malware Turla, al grupo también se le conoce como Turla.

Kaspersky dijo que el uso de satélites significa que los APT son casi imposibles de derribar pues la infraestructura no puede ser rastreada. Este es un gran beneficio en comparación con un servidor "command and control" normal (C&C), que por lo general pueden ser cerrados por la policía.

"Cuando usted pertenece a un grupo APT, necesita hacer frente a muchos problemas, uno de ellos, y tal vez el más grande, es la detención constante y derribo de dominios y servidores utilizados como C&C", escribió Stefan Tenase, investigador senior de seguridad de Kaspersky, en un blog.

"Estos servidores están constantemente en propiedad de la policía o cerrados por los ISP. A veces pueden ser utilizados para rastrear a los atacantes de vuelta a sus lugares físicos".

Pero el grupo Turla ha sido capaz de permanecer prácticamente desapercibido durante casi ocho años mediante el uso de un proveedor de satélite de banda ancha de vídeo digital que cubre el Oriente Medio y África.

"Aunque es poco frecuente, ya que desde 2007 varios grupos de APT han estado usando los enlaces por satélite para la gestión de sus operaciones, más específicamente de su infraestructura C&C. Turla es uno de ellos", dijo Tenase.

Explicó que el hackeo funciona mediante el bloqueo en las conexiones entre las direcciones IP activas y los satélites. Los hackers se aprovechan del hecho de que estas conexiones no se cifran, por lo que enlazan directamente al usuario legítimo y a los atacantes.

El usuario nunca se da cuenta de esto, de cómo los hackers rutean el tráfico en el dispositivo legítimo a un puerto no utilizado. Esto suele enviar un rebote en conexiones lentas de Internet, al igual que las que ofrecen los satélites, el firewall generalmente sólo lo ignora y deshecha el archivo en lugar de enviarlo de vuelta.

Mientras tanto, la máquina falsa, haciéndose pasar por la IP legitima del usuario, recibe la información. La imagen siguiente muestra su funcionamiento: