El grupo de hackers más astuto del Kremlin utiliza proveedores de internet rusos para sembrar software espía.

El grupo de hackers estatales ruso conocido como Turla ha demostrado ser uno de los más innovadores en la historia del ciberespionaje, llevando a cabo hazañas como ocultar las comunicaciones de su malware en conexiones satelitales o apoderarse de las operaciones de otros hackers para disimular sus propias extracciones de datos. Sin embargo, al operar en su país, han optado por un enfoque igualmente sorprendente pero más directo: han utilizado su control sobre los proveedores de servicios de internet en Rusia para insertar spyware directamente en las computadoras de sus objetivos en Moscú.

Un equipo de investigadores de seguridad de Microsoft ha publicado un informe que describe una nueva técnica de espionaje utilizada por Turla, que se cree forma parte de la agencia de inteligencia FSB del Kremlin. Este grupo, también conocido como Snake, Venomous Bear o Secret Blizzard por Microsoft, aparentemente utilizó su acceso autorizado a los ISPs rusos para manipular el tráfico de internet y engañar a las víctimas, empleados de embajadas extranjeras en Moscú, para que instalaran su software malicioso en sus computadoras. Este spyware desactivaba la encriptación en las máquinas de las víctimas, lo que hacía que los datos transmitidos a través de internet fueran completamente vulnerables a la vigilancia de los mismos ISPs y de cualquier agencia estatal que colaborara con ellos.

Sherrod DeGrippo, directora de estrategia de inteligencia de amenazas en Microsoft, señala que esta técnica combina el hacking dirigido para espionaje con el enfoque más pasivo de la vigilancia masiva que suelen emplear las agencias gubernamentales, donde se recolecta y analiza la información de los ISPs y telecomunicaciones para vigilar a los objetivos. DeGrippo destaca que esto difumina la línea entre la vigilancia pasiva y la intrusión activa.

Según los investigadores de Microsoft, la técnica de Turla aprovecha una solicitud web que los navegadores realizan al encontrar un "portal cautivo", que son ventanas comúnmente utilizadas para restringir el acceso a internet en lugares como aeropuertos o cafeterías. En Windows, estos portales cautivos contactan a un sitio web de Microsoft para verificar que el ordenador del usuario esté en línea. No está claro si los portales cautivos utilizados para hackear a las víctimas de Turla eran legítimos o si Turla creó portales falsos como parte de su técnica de hacking.

Al explotar su control sobre los ISPs que conectan a los empleados de embajadas extranjeras, Turla redirigió a los objetivos para que experimentaran un mensaje de error que les instaba a descargar una actualización de los certificados criptográficos de su navegador. Cuando un usuario desprevenido accedía, en realidad instalaba un malware que Microsoft ha denominado ApolloShadow, disfrazado de actualización de seguridad de Kaspersky. Este malware desactivaba la encriptación del navegador, eliminando silenciosamente las protecciones criptográficas para todos los datos web que se transmitían y recibían.

DeGrippo señala que este enfoque es creativo: “¿Y si simplemente nos hacemos con el ISP a través del cual están conectados y usamos ese control para desactivar la encriptación?”, describiendo el pensamiento que podría estar detrás de Turla. Esto les proporciona una gran cantidad de tráfico sin encriptar que puede ser utilizado con fines de espionaje, dado que proviene de individuos y organizaciones altamente sensibles como embajadas.

Microsoft aclara que los detalles sobre cómo funciona esta técnica de redirección basada en ISPs no son completamente claros, pero se especula que utiliza el sistema SORM del Kremlin para la interceptación y vigilancia de las comunicaciones de ISPs y telecomunicaciones. Aunque Microsoft no comentó sobre qué embajadas en Moscú fueron objetivo de esta campaña, DeGrippo mencionó que se advirtió a las víctimas identificadas. El uso de software de Kaspersky como cobertura para la instalación del malware sugiere que la embajada de EE. UU. podría no haber sido un blanco, dado que el software de Kaspersky está prohibido en los sistemas del gobierno estadounidense.

Microsoft no reveló cómo vinculó esta campaña de hacking a Turla, manteniendo su habitual discreción para evitar ayudar a los hackers a evadir la detección. La reputación de Turla por innovar en métodos de hacking data de hace décadas. Se han documentado técnicas similares que apuntan a infecciones mediante instaladores de Flash falsos y métodos posiblemente utilizados por hackers de la KGB de Bielorrusia, así como la instalación de spyware comercial a través de acceso a nivel de ISP.

DeGrippo también advierte que la técnica usada por Turla representa un riesgo potencial para cualquier persona que viaje, viva o trabaje en países con infraestructura de comunicaciones no confiables, ya que técnicas similares podrían ser adoptadas por otros grupos de ciberespionaje en cualquier lugar donde la infraestructura nacional de internet y telecomunicaciones sea susceptible a las agencias de inteligencia.