Cyber-espionnage – une réalité

Le groupe ESET découvre « Crutch », un logiciel opéré par le groupe de hackers « Turla », utilisé contre un ministère des affaires étrangères d'un pays de l'UE. « Turla » a détourné Dropbox à des fins de cyber-espionnage. Et maintenant ?

Le concept de la "cyber-sécurité" laisse encore à désirer... Foto: https://pixabay.com/service/license / Wikimedia Commons / CC0 1.0

(CP / Réd) – Les chercheurs d’ESET, 1er éditeur européen de solutions de sécurité, ont découvert une « backdoor » qui n’avait jusqu’à présent jamais été documentée et ils ont détaillé le fonctionnement d’un mécanisme de vol de documents utilisé à des fins de cyber-espionnage. ESET a pu attribuer le programme, surnommé « Crutch » par ses développeurs, au groupe de pirates informatiques « Turla ». Il a été utilisé de 2015 jusqu’au début 2020 au moins. ESET a détecté « Crutch » sur le réseau d’un ministère des affaires étrangères d’un pays de l’Union Européenne, ce qui semble indiquer que cette famille de logiciels malveillants n’est utilisée que contre des cibles très spécifiques. Ces outils ont été conçus pour exfiltrer des documents et autres fichiers sensibles vers des comptes « Dropbox » contrôlés par les opérateurs de « Turla ».

« La principale activité malveillante est l’exfiltration de documents et autres fichiers sensibles. La sophistication des attaques et les détails techniques de la découverte confirment davantage l’impression que le groupe ‘Turla’ dispose de ressources considérables pour exploiter un arsenal aussi vaste et diversifié, » a déclaré Matthieu Faou, le chercheur d’ESET qui étudie le groupe ‘Turla’. « Crutch » est également capable de contourner certains niveaux de sécurité en détournant une infrastructure existante et légitime, « Dropbox » dans le cas présent, afin de se fondre dans le trafic réseau normal, tout en exfiltrant les documents volés et en recevant des commandes de la part de ses opérateurs. »

Pour localiser les acteurs du groupe « Turla », ESET a exporté les heures auxquelles des fichiers ZIP ont été téléchargés dans les comptes « Dropbox » exploités. Pour cela, les chercheurs ont collecté 506 dates et heures différentes, s’étalant d’octobre 2018 à juillet 2019, pour préciser assez fidèlement le moment où les opérateurs de « Turla » travaillaient. Le groupe opère apparemment dans le fuseau horaire UTC+3.

ESET Research a également pu identifier des liens étroits entre le téléchargeur « Crutch » (version 2016) et Gazer. Ce dernier, appelé également « WhiteBear », est une « backdoor de deuxième niveau » qui a été utilisée par « Turla » de 2016 à 2017.

« Turla » est un groupe de cyber-espionnage actif depuis plus de 10 ans. Il a compromis de nombreux gouvernements dans le monde entier, en particulier des entités diplomatiques, en exploitant un vaste arsenal de malwares qu’ESET a documenté ces quelques dernières années.

Pour plus de détails techniques sur la façon dont Turla Crutch attaque et collecte des informations sensibles, lisez l’article « Turla Crutch: Keeping the ‘back door’ open » sur WeLiveSecurity.com.

Pour plus d’informations, CLIQUEZ ICI et CLIQUEZ ICI !

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.

*



Copyright © Eurojournaliste