Alfonso Maruccia

Turla, cyber-spionaggio a mezzo satelliti

La famigerata gang di cyber-spioni avrebbe fatto uso dei connessioni Internet satellitari per restare anonima, sostiene Kaspersky, per un'attività che dura da quasi un decennio

Roma - Gli analisti di Kaspersky sono tornati ad affrontare la questione Turla, operazione di cyber-spionaggio altamente sofisticata resa pubblica nell'agosto dell'anno scorso: la minaccia APT (Advanced Persistent Threat) ha fatto uso anche di connessioni Internet satellitari, sostiene la security enterprise moscovita, con l'obiettivo di rendere ancora più anonimo il suo network di spie.


Turla è un'operazione di presunta matrice russa che in 8 anni ha preso di mira organizzazioni militari e di intelligence, istituzioni governative, ambasciate, istituti di ricerca e altri obiettivi di primo piano, spiega Kaspersky, infettando centinaia di computer (Windows e non solo) in più di 45 paesi prevalentemente localizzati in Asia.

L'uso delle connessioni satellitari è solo l'ultimo aspetto di una minaccia già nota per essere una delle più complesse scoperte fino a oggi. La cyber-gang di Turla ha sfruttato il fatto che i link satellitari (DVB-S) in downstream sono insicuri perché trasmessi in chiaro, senza cifratura, ed è possibile abusare delle connessioni per camuffare gli indirizzi IP dei PC degli "spioni" dietro gli utenti delle suddette connessioni DVB-S.
L'abuso delle connessioni DVB-S permette alla gang di Turla di gestire in pieno anonimato server di comando e controllo temporanei, spiega ancora Kaspersky, relativamente facili da configurare e infine da dismettere dopo qualche mese di attività. L'utilizzo di IP attivi in prevalenza nel continente africano, poi, ha garantito ulteriore impunità ai cyber-criminali e reso più complicate le indagini e l'analisi della minaccia.

Servendosi delle connessioni satellitari, dice Kaspersky, i membri di Turla seguono una tattica relativamente inedita ancorché già adoperata da altre minacce ATP di altro profilo: i link satellitari garantiscono un livello di anonimato superiore a quello accessibile tramite i normali VPN o con la compromissione di un server di rete tradizionale, sostengono gli analisti russi.

Alfonso Maruccia
Notizie collegate