Turla est une menace russophone très sophistiquée, dont l’intérêt pour le cyber espionnage de cibles gouvernementales ou diplomatiques est largement documenté. Elle est connue pour ses approches novatrices et son malware KopiLuwak, observé pour la première fois à la fin de l’année 2016. En 2019, les chercheurs de Kaspersky ont mis au jour de nouveaux outils et techniques utilisés par le groupe pour gagner en furtivité et minimiser le risque de détection.

Topinambour est un nouveau fichier .NET utilisé par Turla pour distribuer et implanter son malware JavaScript KopiLuwak via des packs d’installation de logiciels légitimes, à l’image de VPN utilisés pour contourner la censure en ligne.

KopiLuwak est un outil de cyber espionnage qui intègre des techniques lui permettant d’éviter la détection. Par exemple, les IP de l’infrastructure de commande et de contrôle imitent des adresses LAN ordinaires. D’autre part, le malware est pratiquement ‘sans fichier’. L’étape finale d’injection, un Trojan chiffré d’administration à distance, est embarquée dans la base de registre de l’ordinateur afin que le malware puisse y accéder au bon moment.

Les menaces analogues, le Trojan .NET RocketMan et le Trojan PowerShell MiamiBeach, servent également à réaliser des campagnes de cyber espionnage. Selon les chercheurs, ces versions seraient déployées contre des cibles ayant installé un logiciel de sécurité capable de détecter KopiLuwak. Une fois l’installation réussie, les trois versions peuvent réaliser les actions suivantes :
• Analyse d’empreinte, pour comprendre quel type d’ordinateur a été infecté
• Collecte d’informations sur les adaptateurs réseaux et systèmes
• Vol de fichiers
• Téléchargement et execution de malwares supplémentaires
• MiamiBeach peut également réaliser des captures d’écran

« En 2019, la menace Turla est revenue sur le devant de la scène avec des outils repensés et des fonctionnalités permettant probablement de minimiser le risque de détection par des solutions de sécurité ou des chercheurs. Pour ce faire, l’empreinte numérique du malware a été réduite et deux versions similaires mais différentes du malware bien connu KopiLuwak ont été créées. L’exploitation frauduleuse de packs d’installation de logiciels VPN permettant de contourner la censure sur Internet suggère que les cibles des attaquants sont des utilisateurs susceptibles de faire appel à ce type d’outil. L’évolution continue de l’arsenal de Turla vient rappeler l’importance des outils de sécurité pour se protéger contre les dernières techniques des APT. Par exemple, sécuriser ses postes de travail et calculer le hash de fichiers d’installation après téléchargement permet de se protéger de menaces comme Topinambour, » – explique Kurt Baumgartner, principal security researcher chez Kaspersky.