Cuando investigaban la actividad del arma de ciberespionaje de habla rusa Turla, activa desde hace más de 8 años, los analistas de Kaspersky Lab se encontraron con el máximo nivel de anonimato. Para ocultar su actividad, este grupo utiliza debilidades de seguridad en las redes de satélites globales.
En las operaciones de ciberespionaje, el servidor de comando y control es una de las partes más importantes de la infraestructura maliciosa, ya que sirve como un “centro de operaciones” para el malware desplegado en equipos concretos.
En caso de que los expertos en seguridad o agentes del orden público tuviesen acceso al servidor, se pondría en riesgo toda la operación maliciosa o al menos una parte de ella.
La conexión por satélite permite al usuario obtener velocidad de descarga, sin embargo, tiene una gran desventaja: todo el tráfico de bajada va sin cifrar, permitiendo que cualquier persona con un equipo adecuado pueda interceptar el tráfico y obtener acceso a los datos que los usuarios están descargando.
Los analistas de Kaspersky Lab han descubierto al grupo Turla usando IPs de proveedores ubicados en países como Congo, Líbano, Libia, Níger, Nigeria, Somalia o los Emiratos Árabes Unidos. España se encuentra entre los países afectados, pero con bajo nivel infección.