Archives par mot-clé : satellite

Turla, les cyber-espions de l’espace

Le groupe de cyber-espions Turla détourne les liaisons Internet par satellite pour infecter leurs victimes. Un rapport détaillé porte sur l’analyse des techniques et méthodologies employées par le groupe, dont la backdoor Carbon.

L’éditeur de solutions de sécurité informatique ESET révèle que le groupe Turla dispose d’un large éventail d’outils visant à récolter les données provenant d’institutions européennes et américaines (USA). Pour éviter de se faire repérer, le groupe Turla change ses outils à chaque nouvelle opération et modifie également les mutex et les noms de dossier de chaque version : dans les trois années qui ont suivi le développement de la version nommée Carbon, les chercheurs ont détecté huit versions actives à ce jour.

Connu pour être minutieux, le groupe Turla effectue d’abord un travail de reconnaissance sur les systèmes de leur victime avant de déployer leurs outils tels que Carbon :

  • la première étape d’infection peut avoir lieu soit parce que l’utilisateur reçoit un e-mail infecté (spear-phishing), soit parce qu’il navigue sur un site Internet compromis
  • généralement, les pirates ciblent les sites fréquemment utilisés par leur victime (technique connue sous le nom d‘attaque de point d’eau : surveillance des habitudes de navigation de la victime)
  • lorsque le système est infecté, une backdoor (comme Tavdig ou Skipper) s’installe sur la machine de la victime
  • une fois la phase de reconnaissance terminée, une seconde backdoor (comme Carbon) est installée sur des systèmes clés

L’architecture de Carbon repose sur un dropper qui installe les composants du malware et le fichier de configuration, ainsi qu’un composant qui communique avec les serveurs C&C et un orchestrateur qui gère les tâches et les expédie vers d’autres ordinateurs du réseau. Pour communiquer avec le serveur C&C et exécuter l’orchestrateur, Carbon s’injecte dans un processus légitime (DLL).

« On note des ressemblances entre la backdoor Carbon et les autres outils utilisés par ce groupe (rootkit Uroburos), notamment dans l’implémentation des objets de communication. Les structures et les tables virtuelles sont identiques, si ce n’est qu’il y a moins de canaux de communication pour Carbon », explique le rapport d’ESET. « Cette backdoor pourrait être la version allégée de Uroburos, sans composant de noyau ni d’exploits ».

Piratage via des connexions satellites

Des pirates passeraient par des connexions satellites pour effacer leurs traces. Ils agiraient cependant de la Russie.

Les pirates informatiques, du moins les « professionnels », ont une mission qu’il ne souhaite rater pour rien au monde, cacher leurs traces. Bref, cacher leur connexion, leur IP, est une obligation pour une attaque efficace et discrète.

Selon les chercheurs de Kaspersky, un groupe de pirates originaire de Russie aurait exploité des connexions par satellite pour être le plus discret possible. Pourquoi l’espace ? Un satellite diffuse sur un plus large spectre. Plus de pays, plus compliqué à remonter. Les pirates, connus sous le pseudonyme de Turla, utiliseraient donc cette solution de « camouflage » d’IP.

Les chercheurs auraient trouvé des preuves que le gang Turla utilise cette technique depuis au moins 2007. Depuis une décennie, Turla aurait ciblé des organismes gouvernementaux, des ambassades et des militaires dans plus de 40 pays, dont le Kazakhstan, la Chine, le Vietnam et les Etats-Unis. Des codes malveillants exploités par ces pirates, découverts cette année par les chercheurs de l’éditeur de solution de sécurité informatique, cachaient en leur sein des IP, dont deux correspondants à des connexions par satellite.

Les vulnérabilités exploitées par la Turla Team ont été documentées en 2009 et 2010. Les deux adresses IP codées communiquaient avec un serveur appartenant à un fournisseur d’accès Internet par satellite allemand.