ESET expose les nouvelles cyber-armes de Turla ciblant les missions diplomatiques européennes

0
61

ESET Research découvre deux portes dérobées jusqu’alors inconnues, il s’agit de LunarWeb et LunarMail. L’enquête d’ESET a débuté dès la détection d’un logiciel de chargement de charge utile chiffrée sur un serveur non identifié. ESET a ensuite observé des déploiements simultanés de LunarWeb dans trois missions diplomatiques d’un pays européen au Moyen-Orient, suggérant un accès préalable au contrôleur de domaine du ministère des Affaires étrangères.

● ESET Research a découvert deux portes dérobées jusqu’alors inconnues, nommées LunarWeb et LunarMail.

●Ces portes dérobées ont compromis plusieurs missions diplomatiques d’un ministère européen des Affaires étrangères.

● Les cibles sont principalement au Moyen-Orient et l’objectif de l’opération est le cyberespionnage.

●ESET estime que le groupe de Turla, aligné sur la Russie, pourrait être le responsable de ces compromissions.

●Turla, également connu sous le nom de Snake, est actif depuis au moins 2004, peut-être même depuis la fin des années 1990.

Tribune ESSET – Les chercheurs estiment que ces compromissions pourraient être l’œuvre du groupe de cyber espionnage Turla, aligné sur la Russie. L’objectif de la campagne est le cyber espionnage. Turla, aussi connu sous le nom de Snake et soupçonné d’être lié au FSB russe, est actif depuis les années 1990 et cible principalement des gouvernements et organisations diplomatiques en Europe, Asie centrale et Moyen-Orient, avec des violations notables comme celles du ministère américain de la Défense en 2008 et de la société suisse RUAG en 2014.

LunarWeb utilise HTTP(S) pour ses communications C&C et imite des requêtes légitimes. Il exfiltre des informations système, telles que les détails de l’ordinateur, les processus en cours, les services et les produits de sécurité installés. LunarMail de son côté agit comme un complément Outlook en utilisant des emails pour ses communications C&C. Il collecte des informations à partir des emails envoyés et offre des capacités de commande plus limitées que LunarWeb, mais permet d’écrire des fichiers, créer des processus et prendre des captures d’écran. Les deux portes dérobées peuvent exécuter des scripts Lua. Elles utilisent la stéganographie pour cacher les commandes dans les images. Leurs chargeurs peuvent inclure des logiciels open source trojanisés, démontrant les techniques avancées des attaquants.

« Le contraste entre l’installation minutieuse sur les serveurs afin d’éviter l’analyse par un logiciel de sécurité, les erreurs de codage et les différents styles de codage des portes dérobées, nous laisser penser que plusieurs personnes ont probablement été impliquées dans le développement et l’exploitation de ces outils. », explique Filip Jurčacko, chercheur à ESET, qui a découvert l’ensemble d’outils Lunars.