Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab : Turla, la menace qui vient du ciel : un groupe de cyber espionnage russophone exploite les satellites pour s’assurer un niveau extrême d’anonymat

septembre 2015 par Kaspersky Lab

En enquêtant sur le groupe de cyber espionnage russophone Turla, les chercheurs de Kaspersky Lab ont découvert comment celui-ci arrivait à échapper à la détection de ses activités et de sa localisation. Pour s’assurer l’anonymat, le groupe exploite les failles de sécurité des réseaux satellitaires mondiaux. Turla est un groupe de cyber espionnage sophistiqué, actif depuis plus de 8 ans. Ses membres ont infecté des centaines d’ordinateurs dans plus de 45 pays, y compris le Kazakhstan, la Russie, la Chine, le Vietnam et les Etats-Unis. Parmi les organismes infestés, on trouve des administrations gouvernementales et des ambassades mais aussi des organismes militaires, des établissements d’enseignement, des instituts de recherche et des laboratoires pharmaceutiques. Dans un premier temps, le backdoor Epic procède à un profilage de la victime. Les pirates font ensuite appel à un vaste mécanisme de communication par satellite dans les phases finales de l’attaque, ce qui les aide à masquer leurs traces uniquement lorsqu’ils s’attaquent à des cibles de très haut niveau.

Si les satellites sont surtout connus comme outils de télédiffusion et de communication sécurisée, ils servent également pour l’accès à Internet. Leurs services sont principalement utilisés dans les endroits reculés où tous les autres moyens d’accès à Internet sont soit instables et lents, soit totalement inopérants. L’une des méthodes les plus répandues et peu coûteuse d’accès Internet par satellite est une liaison exclusivement « descendante ».

Dans ce cas, les requêtes émises par l’ordinateur de l’internaute sont transmises via une ligne classique (fixe ou mobile), tandis que tout le trafic reçu provient du satellite. Cette technique permet d’obtenir un débit de téléchargement relativement élevé. Cependant, elle présente un inconvénient majeur : l’ensemble du trafic descendant arrive à l’ordinateur sans être crypté. Tout pirate disposant de l’équipement et du logiciel appropriés et qui ne sont guère coûteux, pourrait facilement intercepter le trafic et accéder à la totalité des données téléchargées par l’utilisateur.

Le groupe Turla exploite cette faille de manière différente : il s’en sert pour dissimuler l’emplacement de ses serveurs de commande (C&C), qui sont parmi les éléments les plus importants de l’infrastructure malveillante. Le serveur C&C est essentiellement un « camp de base » pour le malware déployé sur les machines ciblées. La découverte de l’emplacement de ce serveur peut conduire les enquêteurs à démasquer les instigateurs de l’opération, c’est pourquoi le groupe Turla s’y prend de la façon suivante pour éviter ces risques :

1. Le groupe commence par « écouter » le flux descendant du satellite afin d’identifier les adresses IP actives des internautes connectés à ce dernier ;
2. Il choisit une adresse IP connectée pour s’en servir dans le but de masquer un serveur C&C, à l’insu de l’utilisateur légitime ;
3. Les machines infectées par Turla reçoivent pour instruction d’exfiltrer des données vers les adresses IP désignées d’internautes régulièrement connectés par satellite. Les données sont acheminées via des lignes classiques vers les téléports du fournisseur d’accès Internet satellitaire, puis jusqu’au satellite, et enfin depuis le satellite jusqu’aux utilisateurs dont les adresses IP ont été choisies.

Chose intéressante, l’utilisateur légitime, dont l’adresse IP a été utilisée par les pirates pour récupérer les données d’une machine infectée, reçoit également ces paquets de données mais les remarque à peine. En effet, les membres de Turla commandent aux machines infectées d’envoyer les données à des ports qui, dans la majorité des cas, sont fermés par défaut. Par conséquent, l’ordinateur de l’utilisateur légitime écarte purement et simplement ces paquets, tandis que le serveur C&C de Turla, qui maintient ces ports ouverts, reçoit et traite les données exfiltrées.

Un autre aspect intéressant de la tactique de Turla est que le groupe a tendance à utiliser les opérateurs Internet par satellite situés dans des pays du Moyen-Orient et d’Afrique. Au cours de leurs recherches, les experts de Kaspersky Lab ont repéré l’utilisation par le groupe d’adresses IP de fournisseurs d’accès localisés en Afghanistan, au Congo, au Liban, en Libye, au Niger, au Nigeria, en Somalie ou aux Emirats Arabes Unis.

Les satellites utilisés par les opérateurs de ces pays ne couvrent généralement pas l’Europe ni l’Amérique du Nord, ce qui rend très difficile la tâche des chercheurs en sécurité qui enquêtent sur ces attaques.

« Jusqu’à présent, nous avons observé au moins trois acteurs différents utilisant des liaisons Internet satellitaires pour masquer leurs opérations. Parmi eux, la solution élaborée par le groupe Turla est la plus intéressante et la plus inhabituelle. Ce groupe parvient à atteindre un niveau extrême d’anonymat en exploitant une technologie très courante : l’accès Internet par satellite unidirectionnel. Les pirates peuvent se trouver partout à portée du satellite qu’ils ont choisi, c’est-à-dire à l’intérieur d’une zone pouvant dépasser plusieurs milliers de kilomètres carrés », explique Stefan Tanase, chercheur senior en sécurité chez Kaspersky Lab. « Cela rend quasi impossible la localisation de l’auteur d’une attaque. Alors que l’utilisation de ce type de méthodes se répand, il est important pour les administrateurs de systèmes de déployer les bonnes stratégies de défense pour neutraliser ces attaques. »

Les produits Kaspersky Lab détectent et bloquent avec succès le malware utilisé par la menace Turla avec les noms suivants :
Backdoor.Win32.Turla.*
Rootkit.Win32.Turla.*
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic




Voir les articles précédents

    

Voir les articles suivants