{"id":6581,"date":"2015-09-09T13:31:35","date_gmt":"2015-09-09T13:31:35","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=6581"},"modified":"2020-02-26T17:29:12","modified_gmt":"2020-02-26T15:29:12","slug":"turla-apt-exploiting-satellites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/turla-apt-exploiting-satellites\/6581\/","title":{"rendered":"Cyber-gang di matrice russa sfrutta le connessioni satellitari"},"content":{"rendered":"<p>La cyber-gang della APT (Advanced Persistent Threat) Turla, conosciuta anche come Snake\u00a0 &amp; Uroboros, \u00e8 uno dei gruppi griminali pi\u00f9 avanzati al mondo. Questa gang di cyber-spioni \u00e8 attiva da pi\u00f9 di 8 anni ma prima dello scorso anno, quando abbiamo pubblicato <a href=\"https:\/\/securelist.com\/analysis\/publications\/65545\/the-epic-turla-operation\/\" target=\"_blank\" rel=\"noopener\">la ricerca Epic Turla<\/a>, non si sapeva della loro esistenza.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/09\/05233101\/sat_FB.png\" alt=\"\" width=\"840\" height=\"840\"><\/p>\n<p>In particolare, questa ricerca includeva campioni che mostravano che parte della APT era di matrice russa. Le persone utilizzavano il code page 1251 che \u00e8 comunemente usato per i caratteri cirillici e parole come \u201czagruzchik\u201d che significa \u201cboot loader\u201d in russo.<\/p>\n<p>Quello che rende il gruppo a capo di Turla particolarmente pericoloso e difficile da catturare non \u00e8 solo la complessit\u00e0 dei suoi strumenti, ma sopratutto l\u2019uso di un meccanismo command-and-control (C&amp;C) fondato sulle connessioni satellitari e utilizzato soprattutto nella parte finale dell\u2019attacco.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/Securelist?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Securelist<\/a> shares new research on the initial stages of the cyber-espionage campaign Turla AKA Snake or Uroburos. <a href=\"http:\/\/t.co\/KvHD7nOEfa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/KvHD7nOEfa<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/497407080354299904?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 7, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>I server command-and-control rappresentano la base degli attacchi cibernetici avanzati. Tuttavia, allo stesso tempo, sono anche il punto pi\u00f9 debole dell\u2019infrastruttura dannosa, frequente oggetto d\u2019indagine da parte degli investigatori e delle forze dell\u2019ordine.<\/p>\n<p>Ci sono due ragioni se questo avviene. In primo luogo questi server vengono usati per controllare tutte le operazioni. Se venissero chiusi, sarebbe possibile disturbare le attivit\u00e0 criminali o persino smantellare tutte le campagne cibernetiche. In secondo luogo, i server C&amp;C possono essere usati per rintracciare gli hacker e scoprire dove si trovano fisicamente.<\/p>\n<p>Ecco perch\u00e9 il gruppo a capo dell\u2019APT cerca continuamente di nascondere i propri C&amp;C. La cyber-gang di Turla ha trovato un modo molto efficace per farlo: nascondono gli indirizzi IP dei server\u2026 \u201cnel cielo\u201d.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Epic Turla:massive <a href=\"https:\/\/twitter.com\/hashtag\/cyberespionage?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cyberespionage<\/a> operation penetrates EU\/Mideast spy agencies via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a> <a href=\"http:\/\/t.co\/vmWvteVmq1\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/vmWvteVmq1<\/a> <a href=\"http:\/\/t.co\/1wuNL7SoFn\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/1wuNL7SoFn<\/a><\/p>\n<p>\u2014 Adolfo Hern\u00e1ndez (@Adolfo_Hdez) <a href=\"https:\/\/twitter.com\/Adolfo_Hdez\/status\/497634453666406400?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 8, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Uno dei tipi di pi\u00f9 diffusi ed economici tipi di connessioni Internet satellitari \u00e8 la connessione\u00a0 downstream (<em>downstream-only connection<\/em>). In questo caso, i dati in uscita dal PC di un utente viaggiano attraverso linee convenzionali, via cavo o connessione cellulare, mentre tutto il traffico in entrata proviene dal satellite.<\/p>\n<p>Comunque questa tecnologia ha solo una peculiarit\u00e0: tutto il traffico downstream proviente dal satellite verso il PC non \u00e8 criptato. In poche parole, chiunque pu\u00f2 intercettare il traffico. I membri della gang di Turla hanno usato questa falla per nascondere il traffico proveniente dal proprio C&amp;C.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Cyber-gang di matrice russa sfrutta le connessioni satellitari #APT #Turla<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FbC49&amp;text=Cyber-gang+di+matrice+russa+sfrutta+le+connessioni+satellitari+%23APT+%23Turla\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Quello che fanno \u00e8 quanto segue:<\/p>\n<ol>\n<li>Ascoltano il downstream proveniente dal satellite per identificare gli indirizzi IP attivi degli utenti di Internet con connessione satellitare che sono online in quel momento.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Poi scelgono un numero di indirizzi IP attivi da essere usati per mascherare il server C&amp;C senza che l\u2019utente lo sappia o dia il consenso.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Le macchine infettate da Turla ricevono istruzioni e inviano tutti i dati agli indirizzi IP scelti. I dati viaggiano attraverso le linee convenzionali verso il satellite e poi dal satellite agli utenti con gli indirizzi IP scelti.<\/li>\n<\/ol>\n<ol start=\"4\">\n<li>Questi dati vengono rilasciati dagli utenti legittimi come fossero spazzatura, mentre i responsabili dell\u2019attacco li prelevano dalla connessione satellitare downstream.<\/li>\n<\/ol>\n<p>Dato che il downstream satellitare copre un\u2019area molto ampia, \u00e8 impossibile sapere dove si trovino esattamente i responsabili dell\u2019attacco.\u00a0 Per rendere questa \u201ccaccia al topo\u201d ancora pi\u00f9 difficile, la gang di Turla tende a sfruttare i provider satellitari localizzati nel Medio Oriente e nei paesi africani come Congo, Libano, Libia, Niger, Nigeria, Somalia e negli Emirati Arabi.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/09\/05233100\/turla_map_of_satellites_.png\" alt=\"\" width=\"1088\" height=\"894\"><\/p>\n<p>Il raggio satellitare usato dagli operatori in questi paesi non copre normalmente i territori europei e nordamericani, rendendo molto difficile il lavoro dei ricercatori che stanno facendo ricerche su questo genere di attacchi.<\/p>\n<p>La gang di Turla ha gi\u00e0 infettato centinaia di computer in pi\u00f9 di 45 paesi tra cui anche il Kazakistan, la Russia, la Cina, il Vietnam e gli Stati Uniti. Le organizzazioni che sono state colpite da Turla includono istituzioni governative e ambasciate, cos\u00ec come settori quali la ricerca, l\u2019educazione, il settore militare e le compagnie farmaceutiche.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/09\/05233105\/Turla_Map_of_Targets1.png\" alt=\"\" width=\"1468\" height=\"920\"><\/p>\n<p>Questa \u00e8 la cattiva notiza. La buona notizia per i nostri utenti \u00e8 che i prodotti <a href=\"https:\/\/www.kaspersky.com\/it\/free-trials\/multi-device-security?redef=1&amp;reseller=it_socmed_pro_ona_smm__onl_b2c__lnk____kismd___\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Lab<\/a> individuano con successo queste minacce e bloccano i malware diffusi dal gruppo di Turla.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I ricercatori di Kaspesky Lab hanno scoperto un gruppo a capo di una APT di matrice russa che sfrutta le connessioni satellitari per mascherare le loro operazioni e nascondere i server command-and-control.<\/p>\n","protected":false},"author":421,"featured_media":6582,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[592,1603,1601,1600,22,638,95,1602,1599],"class_list":{"0":"post-6581","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apt","10":"tag-connessioni-satellitari","11":"tag-cyber-gang","12":"tag-cyber-spie","13":"tag-malware-2","14":"tag-minacce","15":"tag-ricerca","16":"tag-satelliti","17":"tag-turla"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/turla-apt-exploiting-satellites\/6581\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5062\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/3526\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5945\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/turla-apt-exploiting-satellites\/6210\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/6171\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/turla-apt-exploiting-satellites\/5662\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/turla-apt-exploiting-satellites\/6131\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/turla-apt-exploiting-satellites\/8845\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/turla-apt-exploiting-satellites\/9771\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6581","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=6581"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6581\/revisions"}],"predecessor-version":[{"id":20665,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6581\/revisions\/20665"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/6582"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=6581"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=6581"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=6581"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}