Turla est un groupe de cyber espionnage sophistiqué, actif depuis plus de 8 ans. Ses membres ont infecté des centaines d’ordinateurs dans plus de 45 pays, y compris le Kazakhstan, la Russie, la Chine, le Vietnam et les Etats-Unis. Parmi les organismes infestés, on trouve des administrations gouvernementales et des ambassades mais aussi des organismes militaires, des établissements d’enseignement, des instituts de recherche et des laboratoires pharmaceutiques. Dans un premier temps, le backdoor Epic procède à un profilage de la victime. Les pirates font ensuite appel à un vaste mécanisme de communication par satellite dans les phases finales de l’attaque, ce qui les aide à masquer leurs traces uniquement lorsqu’ils s’attaquent à des cibles de très haut niveau.
Si les satellites sont surtout connus comme outils de télédiffusion et de communication sécurisée, ils servent également pour l’accès à Internet. Leurs services sont principalement utilisés dans les endroits reculés où tous les autres moyens d’accès à Internet sont soit instables et lents, soit totalement inopérants. L’une des méthodes les plus répandues et peu coûteuse d’accès Internet par satellite est une liaison exclusivement « descendante ».
Dans ce cas, les requêtes émises par l’ordinateur de l’internaute sont transmises via une ligne classique (fixe ou mobile), tandis que tout le trafic reçu provient du satellite. Cette technique permet d’obtenir un débit de téléchargement relativement élevé. Cependant, elle présente un inconvénient majeur : l’ensemble du trafic descendant arrive à l’ordinateur sans être crypté. Tout pirate disposant de l’équipement et du logiciel appropriés et qui ne sont guère coûteux, pourrait facilement intercepter le trafic et accéder à la totalité des données téléchargées par l’utilisateur.
Le groupe Turla exploite cette faille de manière différente : il s’en sert pour dissimuler l’emplacement de ses serveurs de commande (C&C), qui sont parmi les éléments les plus importants de l’infrastructure malveillante. Le serveur C&C est essentiellement un « camp de base » pour le malware déployé sur les machines ciblées. La découverte de l’emplacement de ce serveur peut conduire les enquêteurs à démasquer les instigateurs de l’opération, c’est pourquoi le groupe Turla s’y prend de la façon suivante pour éviter ces risques :
1. Le groupe commence par « écouter » le flux descendant du satellite afin d’identifier les adresses IP actives des internautes connectés à ce dernier ;
2. Il choisit une adresse IP connectée pour s’en servir dans le but de masquer un serveur C&C, à l’insu de l’utilisateur légitime ;
3. Les machines infectées par Turla reçoivent pour instruction d’exfiltrer des données vers les adresses IP désignées d’internautes régulièrement connectés par satellite. Les données sont acheminées via des lignes classiques vers les téléports du fournisseur d’accès Internet satellitaire, puis jusqu’au satellite, et enfin depuis le satellite jusqu’aux utilisateurs dont les adresses IP ont été choisies.
Chose intéressante, l’utilisateur légitime, dont l’adresse IP a été utilisée par les pirates pour récupérer les données d’une machine infectée, reçoit également ces paquets de données mais les remarque à peine. En effet, les membres de Turla commandent aux machines infectées d’envoyer les données à des ports qui, dans la majorité des cas, sont fermés par défaut. Par conséquent, l’ordinateur de l’utilisateur légitime écarte purement et simplement ces paquets, tandis que le serveur C&C de Turla, qui maintient ces ports ouverts, reçoit et traite les données exfiltrées.
Un autre aspect intéressant de la tactique de Turla est que le groupe a tendance à utiliser les opérateurs Internet par satellite situés dans des pays du Moyen-Orient et d’Afrique. Au cours de leurs recherches, les experts de Kaspersky Lab ont repéré l’utilisation par le groupe d’adresses IP de fournisseurs d’accès localisés en Afghanistan, au Congo, au Liban, en Libye, au Niger, au Nigeria, en Somalie ou aux Emirats Arabes Unis.
Les satellites utilisés par les opérateurs de ces pays ne couvrent généralement pas l’Europe ni l’Amérique du Nord, ce qui rend très difficile la tâche des chercheurs en sécurité qui enquêtent sur ces attaques. Le malware utilisé par la menace Turla a les noms suivants : Backdoor.Win32.Turla, Rootkit.Win32.Turla, HEUR:Trojan.Win32.Epiccosplay.gen et HEUR:Trojan.Win32.Generic.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ce que Kaspersky ne nous explique pas, c’est comment il a réussi a les traqué (avoir ces info) a ce degré de précision assez élever…