Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarLa historia clandestina de Turla, el grupo de hackers más ingenioso de Rusia
Andy Greenberg
Pregunte a los analistas de inteligencia de ciberseguridad occidentales cuál es su grupo "favorito" de piratas informáticos patrocinados por estados extranjeros, el adversario que no pueden evitar admirar a regañadientes y estudiar obsesivamente, y la mayoría no nombrará ninguno de los grupos de piratas informáticos que trabajan en nombre de China o Corea del Norte. Ni el APT41 de China, con sus atrevidas juergas de ataques a la cadena de suministro, ni los piratas informáticos Lazarus de Corea del Norte que realizan robos masivos de criptomonedas. La mayoría ni siquiera señalará al notorio grupo de piratas informáticos Sandworm de Rusia, a pesar de los ciberataques de apagón sin precedentes de la unidad militar contra las redes eléctricas o el código destructivo autorreplicante.
En cambio, los conocedores de la intrusión informática tienden a nombrar un equipo mucho más sutil de ciberespías que, de diversas formas, ha penetrado silenciosamente en las redes de Occidente durante mucho más tiempo que ningún otro: un grupo conocido como Turla.
La semana pasada, el Departamento de Justicia de EE. UU. y el FBI anunciaron que habían desmantelado una operación de Turla, también conocida por nombres como Venomous Bear y Waterbug, que había infectado computadoras en más de 50 países con una pieza de malware conocida como Snake, que el Las agencias estadounidenses describieron como la "herramienta de espionaje principal" de la agencia de inteligencia FSB de Rusia. Al infiltrarse en la red de máquinas pirateadas de Turla y enviarle al malware un comando para que se borre, el gobierno de los EE. UU. asestó un serio revés a las campañas globales de espionaje de Turla.
Pero en su anuncio, y en los documentos judiciales presentados para llevar a cabo la operación, el FBI y el Departamento de Justicia fueron más allá y confirmaron oficialmente por primera vez el informe de un grupo de periodistas alemanes el año pasado que reveló que Turla trabaja para el Centro 16 del FSB. grupo en Riazán, en las afueras de Moscú. También insinuó la increíble longevidad de Turla como uno de los mejores equipos de ciberespionaje: una declaración jurada presentada por el FBI afirma que el malware Snake de Turla había estado en uso durante casi 20 años.
De hecho, podría decirse que Turla ha estado operando durante al menos 25 años, dice Thomas Rid, profesor de estudios estratégicos e historiador de ciberseguridad en la Universidad Johns Hopkins. Señala la evidencia de que fue Turla, o al menos una especie de proto-Turla que se convertiría en el grupo que conocemos hoy, que llevó a cabo la primera operación de ciberespionaje de una agencia de inteligencia dirigida a los EE. UU., una campaña de piratería de varios años conocida como Laberinto de luz de luna.
Dada esa historia, el grupo definitivamente regresará, dice Rid, incluso después de la última interrupción del FBI de su conjunto de herramientas. "Turla es realmente el APT por excelencia", dice Rid, usando la abreviatura de "amenaza persistente avanzada", un término que la industria de la seguridad cibernética usa para los grupos de piratería patrocinados por el estado de élite. "Sus herramientas son muy sofisticadas, sigilosas y persistentes. Un cuarto de siglo habla por sí mismo. Realmente, es el adversario número uno".
A lo largo de su historia, Turla ha desaparecido repetidamente en las sombras durante años, solo para reaparecer dentro de redes bien protegidas, incluidas las del Pentágono de EE. UU., los contratistas de defensa y las agencias gubernamentales europeas. Pero incluso más que su longevidad, es el ingenio técnico en constante evolución de Turla, desde gusanos USB, piratería basada en satélites y secuestro de la infraestructura de otros piratas informáticos, lo que lo ha distinguido durante esos 25 años, dice Juan Andres Guerrero-Saade, quien lidera la inteligencia de amenazas. investigación en la empresa de seguridad SentinelOne. "Miras a Turla, y hay varias fases en las que, oh Dios mío, hicieron algo increíble, fueron pioneros en esta otra cosa, probaron una técnica inteligente que nadie había hecho antes, la escalaron y la implementaron", dice Guerrero. -Saade. "Son innovadores y pragmáticos, y los convierte en un grupo APT muy especial para seguir".
Brenda Stolyar
Will caballero
Personal CABLEADO
Medea Jordan
Aquí hay una breve historia de las dos décadas y media de espionaje digital de élite de Turla, que se remonta al comienzo de la carrera armamentista de espionaje patrocinada por el estado.
Cuando el Pentágono comenzó a investigar una serie de intrusiones en los sistemas del gobierno de EE. UU. como una sola operación de espionaje en expansión, había estado en marcha durante al menos dos años y estaba desviando secretos estadounidenses a gran escala. En 1998, los investigadores federales descubrieron que un misterioso grupo de piratas informáticos había estado rondando las computadoras en red de la Marina y la Fuerza Aérea de los EE. UU., así como las de la NASA, el Departamento de Energía, la Agencia de Protección Ambiental, la Administración Nacional Oceánica y Atmosférica, un puñado de universidades estadounidenses, y muchas otras. Una estimación compararía el botín total de los hackers con una pila de papeles tres veces la altura del Monumento a Washington.
Desde el principio, los analistas de contrainteligencia creyeron que los piratas informáticos eran de origen ruso, según su seguimiento en tiempo real de la campaña de piratería y los tipos de documentos a los que apuntaban, dice Bob Gourley, ex oficial de inteligencia del Departamento de Defensa de EE. UU. que trabajó en la investigación. . Gourley dice que fue la aparente organización y persistencia de los hackers lo que le causó una impresión más duradera. "Llegaban a un muro, y luego alguien con diferentes habilidades y patrones tomaba el control y rompía ese muro", dice Gourley. "Esto no fue solo un par de niños. Esta fue una organización patrocinada por el estado y con buenos recursos. Fue la primera vez, en realidad, que un estado-nación estaba haciendo esto".
Los investigadores descubrieron que cuando los piratas informáticos de Moonlight Maze, un nombre en clave que les dio el FBI, extrajeron datos de los sistemas de sus víctimas, usaron una versión personalizada de una herramienta llamada Loki2 y modificaron continuamente esa pieza de código a lo largo de los años. En 2016, un equipo de investigadores que incluía a Rid y Guerrero-Saade citarían esa herramienta y su evolución como evidencia de que Moonlight Maze era, de hecho, el trabajo de un antepasado de Turla: señalaron casos en los que los piratas informáticos de Turla habían utilizado un único, similarmente personalizado. versión de Loki2 en su objetivo de sistemas basados en Linux completamente dos décadas después.
Diez años después de Moonlight Maze, Turla volvió a sorprender al Departamento de Defensa. La NSA descubrió en 2008 que una pieza de malware salía desde el interior de la red clasificada del Comando Central de EE. UU. del Departamento de Defensa. Esa red estaba "en un espacio de aire", físicamente aislada de tal manera que no tenía conexiones a redes conectadas a Internet. Y, sin embargo, alguien lo había infectado con un código malicioso que se propagaba a sí mismo y que ya se había copiado en un número incalculable de máquinas. Nunca antes se había visto nada parecido en los sistemas estadounidenses.
La NSA llegó a creer que el código, que más tarde sería apodado Agent.btz por los investigadores de la firma finlandesa de seguridad cibernética F-Secure, se había propagado desde las memorias USB que alguien había conectado a las PC en la red con espacio de aire. Nunca se ha descubierto exactamente cómo las memorias USB infectadas llegaron a las manos de los empleados del Departamento de Defensa y penetraron en el santuario interior digital del ejército de los EE.
Brenda Stolyar
Will caballero
Personal CABLEADO
Medea Jordan
La violación de Agent.btz de las redes del Pentágono fue lo suficientemente generalizada como para desencadenar una iniciativa de varios años para renovar la ciberseguridad militar de EE. UU., un proyecto llamado Buckshot Yankee. También condujo a la creación de US Cyber Command, una organización hermana de la NSA encargada de proteger las redes del Departamento de Defensa que hoy también sirve como el hogar de los piratas informáticos más orientados a la guerra cibernética del país.
Años más tarde, en 2014, los investigadores de la firma rusa de ciberseguridad Kaspersky señalarían las conexiones técnicas entre Agent.btz y el malware de Turla que se conocería como Snake. El malware de espionaje, que Kaspersky en ese momento llamó Uroburos, o simplemente Turla, usó los mismos nombres de archivo para sus archivos de registro y algunas de las mismas claves privadas para el cifrado que Agent.btz, las primeras pistas que el notorio gusano USB tenía de hecho. sido una creación de Turla.
A mediados de la década de 2010, ya se sabía que Turla había pirateado redes informáticas en docenas de países de todo el mundo, a menudo dejando una versión de su malware Snake en las máquinas de las víctimas. En 2014 se reveló que utiliza ataques de "abrevadero", que plantan malware en sitios web con el objetivo de infectar a sus visitantes. Pero en 2015, los investigadores de Kaspersky descubrieron una técnica de Turla que iría mucho más allá para consolidar la reputación de sofisticación y sigilo del grupo: secuestrar las comunicaciones satelitales para robar esencialmente los datos de las víctimas a través del espacio exterior.
En septiembre de ese año, el investigador de Kaspersky, Stefan Tanase, reveló que el malware de Turla se comunicaba con sus servidores de comando y control, las máquinas que envían comandos a las computadoras infectadas y reciben sus datos robados, a través de conexiones satelitales de Internet secuestradas. Tal como lo describió Tanase, los piratas informáticos de Turla suplantarían la dirección IP de un suscriptor real de Internet satelital en un servidor de comando y control instalado en algún lugar de la misma región que ese suscriptor. Luego, enviarían sus datos robados de las computadoras pirateadas a esa IP para que se enviaran vía satélite al suscriptor, pero de una manera que provocaría que el firewall del destinatario los bloqueara.
Sin embargo, debido a que el satélite estaba transmitiendo los datos desde el cielo a toda la región, una antena conectada al servidor de comando y control de Turla también podría captarlos, y nadie que rastreara a Turla tendría forma de saber en qué lugar. la región en la que podría estar ubicada la computadora. Todo el sistema, brillantemente difícil de rastrear, cuesta menos de $ 1,000 al año para funcionar, según Tanase. Lo describió en una publicación de blog como "exquisito".
Muchos piratas informáticos utilizan "banderas falsas", desplegando las herramientas o técnicas de otro grupo de piratas informáticos para desviar a los investigadores de su rastro. En 2019, la NSA, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro Nacional de Ciberseguridad del Reino Unido advirtieron que Turla había ido mucho más allá: se había apoderado silenciosamente de la infraestructura de otro grupo de piratas informáticos para controlar toda su operación de espionaje.
En un aviso conjunto, las agencias de EE. UU. y el Reino Unido revelaron que habían visto a Turla no solo desplegar malware utilizado por un grupo iraní conocido como APT34 (o Oilrig) para sembrar confusión, sino que Turla también había logrado secuestrar el comando y... control de los iraníes en algunos casos, obteniendo la capacidad de interceptar datos que los piratas informáticos iraníes habían estado robando e incluso enviando sus propios comandos a las computadoras de las víctimas que los iraníes habían pirateado.
Brenda Stolyar
Will caballero
Personal CABLEADO
Medea Jordan
Esos trucos elevaron significativamente el listón para los analistas que buscaban atribuir cualquier intrusión a un grupo particular de piratas informáticos, cuando en realidad Turla o un grupo similar podría haber estado moviendo en secreto los hilos de un títere desde las sombras. “Evite posibles atribuciones erróneas estando atento al examinar la actividad que parece originarse en la APT iraní”, advirtió el aviso de CISA en ese momento. "Puede ser el grupo Turla disfrazado".
La firma de seguridad cibernética Mandiant informó a principios de este año que había visto a Turla llevando a cabo una variante diferente de ese truco de secuestro de piratas informáticos, esta vez tomando el control de una botnet ciberdelincuente para filtrar a sus víctimas.
En septiembre de 2022, Mandiant descubrió que un usuario de una red en Ucrania había conectado una unidad USB a su máquina y la había infectado con el malware conocido como Andromeda, un troyano bancario de hace una década. Pero cuando Mandiant miró más de cerca, descubrió que ese malware había descargado e instalado posteriormente dos herramientas que Mandiant había vinculado previamente a Turla. Los espías rusos, descubrió Mandiant, habían registrado dominios vencidos que los administradores ciberdelincuentes originales de Andromeda habían usado para controlar su malware, adquiriendo la capacidad de controlar esas infecciones, y luego buscaron entre cientos de ellos los que podrían ser de interés para el espionaje.
Ese inteligente truco tenía todas las características de Turla: el uso de unidades USB para infectar a las víctimas, como lo había hecho con Agent.btz en 2008, pero ahora combinado con el truco de secuestrar el malware USB de un grupo de piratas informáticos diferente para apoderarse de su control, como Turla lo había hecho con los piratas informáticos iraníes unos años antes. Sin embargo, los investigadores de Kaspersky advirtieron que las dos herramientas encontradas en la red ucraniana que Mandiant había usado para vincular la operación con Turla pueden ser señales de un grupo diferente al que llama Tomiris, tal vez una señal de que Turla comparte herramientas con otro grupo estatal ruso. o que ahora está evolucionando hacia múltiples equipos de piratas informáticos.
La semana pasada, el FBI anunció que había contraatacado a Turla. Al explotar una debilidad en el cifrado utilizado en el malware Snake de Turla y los remanentes del código que el FBI había estudiado de las máquinas infectadas, la oficina anunció que había aprendido no solo a identificar las computadoras infectadas con Snake, sino también a enviar un comando a esas máquinas que el el malware se interpretaría como una instrucción para eliminarse a sí mismo. Usando una herramienta que había desarrollado, llamada Perseus, había purgado a Snake de las máquinas de las víctimas en todo el mundo. Junto con CISA, el FBI también publicó un aviso que detalla cómo Turla's Snake envía datos a través de sus propias versiones de los protocolos HTTP y TCP para ocultar sus comunicaciones con otras máquinas infectadas con Snake y los servidores de mando y control de Turla.
Sin duda, esa interrupción deshará años de trabajo para los piratas informáticos de Turla, que han estado usando Snake para robar datos de víctimas en todo el mundo desde 2003, incluso antes de que el Pentágono descubriera Agent.btz. La capacidad del malware para enviar datos bien ocultos de forma encubierta entre víctimas en una red de igual a igual lo convirtió en una herramienta clave para las operaciones de espionaje de Turla.
Brenda Stolyar
Will caballero
Personal CABLEADO
Medea Jordan
Pero nadie debe engañarse pensando que desmantelar la red Snake, incluso si el malware pudiera erradicarse por completo, significaría el fin de uno de los grupos de piratas informáticos más resistentes de Rusia. "Este es uno de los mejores actores que hay, y no tengo ninguna duda de que el juego del gato y el ratón continúa", dice Rid, de Johns Hopkins. "Más que nadie, tienen un historial de evolución. Cuando arrojas luz sobre sus operaciones, tácticas y técnicas, evolucionan, se actualizan y tratan de volverse más sigilosos nuevamente. Ese es el patrón histórico que comenzó en la década de 1990".
"Para ellos, esas brechas en su línea de tiempo son una característica", agrega Rid, señalando los períodos de tiempo de varios años en los que las técnicas de piratería de Turla permanecieron en gran medida fuera de las noticias y los artículos de los investigadores de seguridad.
En cuanto a Gourley, quien persiguió a Turla hace 25 años como oficial de inteligencia en medio de Moonlight Maze, aplaude la operación del FBI. Pero también advierte que matar algunas infecciones de Snake es muy diferente a derrotar al equipo de ciberespionaje más antiguo de Rusia. "Este es un juego infinito. Si aún no están de vuelta en esos sistemas, lo estarán pronto", dice Gourley. "No van a desaparecer. Este no es el final de la historia del ciberespionaje. Definitivamente, definitivamente regresarán".