O grupo hacker Turla rouba informações sigilosas de governos e de empresas privadas há anos. Mas como, afinal, as operações são realizadas? De acordo com pesquisa divulgada pela Kaspersky (Moscou, na Rússia) os criminosos cobrem seus vestígios “sequestrando” links de internet de satélites.

Os responsáveis por enviar malwares a países da Europa e também aos EUA protegem seu anonimato através de canais lentos e unidirecionais – links gerados por satélites antigos (usados pelo Turla) permitem apenas o download de dados.

O que conquista a preferência desses canais por parte dos hackers é o fato de que as vias de comunicação dos “servidores espaciais” não são criptografadas. Além disso, a interceptação do sinal pode ser feita dentro de um raio de quase 1.000 km, o que dificulta a localização física da gangue.

Alvos do grupo hacker Turla.

As ferramentas do grupo hacker

Segundo explica Stefan Tanase, pesquisador sênior da Kaspersky, são quatro os componentes necessários para que os links DVB-S de satélites sejam sequestrados: um “prato de satélite” (cujo tamanho depende da localização geográfica dos agentes), um LNB (conversor de baixo ruído usado para recepção de sinais de satélites), um sintonizador DVB-S dedicado (cartão PCIe) e, naturalmente, um PC (preferencialmente com Linux).

Também conforme observa Tanase, cartões PCIe do tipo TBS (como o TBS-6922SE) são os mais adequados à interceptação dos sinais de satélites (esses componentes possuem drivers kernel do Linux e suportam a função conhecida como “brute-force scan”, que permite testes de frequências para seleção do canal que será usado).

Cartão TBS-6922SE PCIe usado para recepção de canais DVB-S.

Para sequestrar os links, o Turla analisa pacotes específicos de conexão a partir de um endereço de IP. No momento em que certo canal é identificado, uma reposta falsa é então enviada ao servidor por meio de uma linha convencional de internet. O usuário legítimo passa a ignorar o pacote malicioso; firewalls de satélites geralmente derrubam canais que atingem “portas fechadas”, o que permite o sequestro das conexões.

“Esse é provavelmente um dos métodos mais eficazes de garantia de segurança operacional”, diz Tanase. “Ninguém nunca vai saber a localização física do seu servidor de controle. Não consigo pensar em uma maneira para identificar o ‘local exato da base de comando dos hackers’. Eles podem estar em qualquer lugar dentro do raio dos satélites [sequestrados]”, finaliza o especialista em segurança.

O Turla

Os hackers do Turla estão ligados a ataques ao Kremlin (sede do governo da Rússia), a empresas farmacêuticas e às embaixadas da China e Rússia. O objetivo dos ativistas é atacar “alvos diplomáticos e militares” também dos EUA (como Pentágono e Casa Branca), da Europa, Oriente Médio e Ásia Central para obter “dados e vantagens políticas e estratégicas”.

Quais grupos hacker você conhece? Comente no Fórum do TecMundo