Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET découvre Crutch, opéré par Turla contre un ministère des affaires étrangères d’un pays de l’UE et a détourné Dropbox à des fins de cyberespionnage

décembre 2020 par ESET

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une porte dérobée qui n’avait jusqu’à présent jamais été documentée et ont détaillé le fonctionnement d’un mécanisme de vol de documents utilisé à des fins de cyberespionnage. ESET a pu attribuer le programme, surnommé Crutch par ses développeurs, au groupe de pirates Turla. Il a été utilisé de 2015 jusqu’au début 2020 au moins. ESET a détecté Crutch sur le réseau d’un ministère des affaires étrangères d’un pays de l’Union européenne, ce qui semble indiquer que cette famille de logiciels malveillants n’est utilisée que contre des cibles très spécifiques. Ces outils ont été conçus pour exfiltrer des documents et autres fichiers sensibles vers des comptes Dropbox contrôlés par les opérateurs de Turla.

« La principale activité malveillante est l’exfiltration de documents et autres fichiers sensibles. La sophistication des attaques et les détails techniques de la découverte confirment davantage l’impression que le groupe Turla dispose de ressources considérables pour exploiter un arsenal aussi vaste et diversifié, » déclare Matthieu Faou, le chercheur d’ESET qui étudie le groupe Turla. « Crutch est également capable de contourner certaines couches de sécurité en détournant une infrastructure légitime, Dropbox dans le cas présent, afin de se fondre dans le trafic réseau normal tout en exfiltrant les documents volés et en recevant des commandes de la part de ses opérateurs. »

Afin d’avoir une idée approximative du fuseau horaire des opérateurs, ESET a exporté les heures auxquelles ils ont téléversé des fichiers ZIP dans les comptes Dropbox exploités. Pour cela, les chercheurs ont collecté 506 informations de dates et d’heures différentes s’étalant d’octobre 2018 à juillet 2019, pour préciser assez fidèlement le moment où les opérateurs travaillaient et non quand les machines des victimes étaient actives. Les opérateurs sont apparemment situés dans le fuseau horaire UTC+3.

Les heures de travail des opérateurs de Crutch sont tirées des téléversements dans les comptes Dropbox.

ESET Research a pu identifier des liens étroits entre un téléchargeur Crutch de 2016 et Gazer. Ce dernier, appelé également WhiteBear, est une porte dérobée de seconde étape qui a été utilisée par Turla de 2016 à 2017.

Turla est un groupe de cyberespionnage actif depuis plus de 10 ans. Il a compromis de nombreux gouvernements dans le monde entier, en particulier des entités diplomatiques, en exploitant un vaste arsenal de malwares qu’ESET a documenté ces quelques dernières années.




Voir les articles précédents

    

Voir les articles suivants