Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

De Britney Spears aux ambassades, ESET livre ses recherches sur le groupe Turla

septembre 2017 par ESET

Il y a quelques mois, le groupe de cybercriminels Turla utilisait le compte Instagram® de Britney Spears pour mener des campagnes de cyberespionnage. ESET® est parmi les premiers éditeurs à identifier et documenter leur nouvelle backdoor, nommée Gazer, visant principalement des institutions européennes.

Qui est le groupe Turla

Groupe de cybercriminels menant des campagnes d’espionnage depuis plusieurs années, il cible principalement les gouvernements européens et les ambassades. Turla est connu pour mener des attaques dites de « point d’eau » (surveiller les habitudes de navigation de la victime) et des campagnes de spearphishing (e-mails infectés ciblés).
Les chercheurs d’ESET ont découvert la backdoor Gazer sur nombre d’ordinateurs à travers le monde, mais principalement en Europe. « Les techniques employées sont similaires aux précédentes campagnes menées par le groupe : une première porte dérobée s’installe par spearphishing, puis une seconde backdoor est envoyée sur le poste compromis. Il s’agit ici de Gazer », explique Jean-Ian Boutin, senior Malware Researcher chez ESET.

Détecter l’indétectable

Comme d’autres backdoors « second stage » avant elle (telles que Carbon et Kazuar), Gazer reçoit ses tâches au format chiffré à partir d’un serveur C&C. Ce dernier peut être une machine déjà infectée ou n’importe quelle autre machine en réseau. Le Groupe Turla utilise ses propres moyens de chiffrement reposant sur 3DES et RSA. L’analyse des clés RSA montre qu’elles contiennent la clé publique du serveur contrôlée par l’attaquant et une clé privée. Pour chaque échantillon analysé, ESET a découvert que les clés utilisées sont uniques et que tous les échanges avec le C&C sont chiffrés.

Architecture de la backdoor Gazer

Pour échapper à la détection et assurer sa persistance, les chercheurs ESET ont découvert que la menace utilisait un système de fichier virtuel dans le registre Windows. « Turla va très loin pour éviter d’être repéré. Le groupe supprime tout d’abord ses fichiers des systèmes compromis, puis change les chaînes et les indicateurs de compromission pour chaque version de leur backdoor. On note un certain sens de l’humour des cybercriminels qui utilisent des références à des jeux vidéo dans leur code. », poursuit Jean-Ian Boutin.




Voir les articles précédents

    

Voir les articles suivants