Que es
Turla es un grupo de ciberataques asociado al país de Irán, conocido por su actividad de espionaje cyber y operaciones de ingeniería social. El grupo utiliza técnicas avanzadas para comprometer sistemas críticos en sectores clave como la energía, la defensa y el gobierno. Uno de sus principales instrumentos es OilRigs, un conjunto de herramientas maliciosas desarrollado por el grupo para realizar ataques dirigidos a organizaciones en Oriente Medio.
Los investigadores de ciberseguridad han identificado que Turla ha utilizado variantes de OilRigs y otras herramientas como Helminth, Ismdoor y Karkoff para realizar operaciones de espionaje a gran escala. Estos ataques suelen incluir la inyección de código malicioso en sistemas mediante vulnerabilidades de software, el uso de técnicas de fileless y la manipulación DNS.
Contexto
El grupo Turla ha sido documentado en múltiples informes de ciberseguridad, incluyendo estudios de FireEye, Palo Alto Networks y Trend Micro. Los ataques suelen tener como objetivo países del Oriente Medio, especialmente Arabia Saudita, Irán y Turquía, aunque también se han reportado actividades en sectores como la energía y la defensa en regiones cercanas.
En 2017, se confirmó que Turla había utilizado OilRigs para atacar organizaciones de Arabia Saudita, mientras que en 2018 se reportaron actividades relacionadas con el uso de Ismdoor, una variante de Helminth. Además, se han documentado intentos de ciberespionaje contra organismos gubernamentales y empresas en Irán.
Analisis
Los ataques atribuidos a Turla suelen involucrar múltiples etapas, incluyendo la infección de sistemas mediante phishing, la instalación de backdoors y el uso de técnicas de lateral movement para mantener acceso persistente. La OilRigs actúa como un motor principal, permitiendo al grupo controlar redes y extraer datos sensibles.
Según fuentes analíticas, Turla ha utilizado herramientas como Twoface, un webshell de larga duración, y DNSpionage, una técnica de manipulación DNS para ocultar actividades maliciosas. Estos ataques son difíciles de detectar debido a su complejidad y el uso de técnicas fileless que no dejan rastros en sistemas operativos.
Conclusion
Turla representa una amenaza significativa para organizaciones con infraestructuras críticas en Oriente Medio. La actividad del grupo se centra en la ciberespionaje y el robo de datos, aprovechando vulnerabilidades en sistemas informáticos y redes. Los investigadores recomiendan monitorear actividades relacionadas con OilRigs, Helminth y otras herramientas maliciosas, especialmente en sectores clave como la energía y la defensa.