Serveur d'impression

Le groupe russe Turla déguisé en pirate iranien lors d'attaques – Serveur d’impression

Le 22 novembre 2019 - 5 minutes de lecture

Le groupe de hackers russes Turla s'est déguisé en Iran et a volé des secrets d’État à plusieurs pays, ont annoncé lundi des autorités américaines et britanniques.

"Identifier les responsables d'attaques peut être très difficile, mais le poids des preuves laisse à penser que le groupe Turla est derrière cette campagne", a déclaré Paul Chichester, directeur des opérations du Centre national de cybersécurité du GCHQ, dans un communiqué. «Nous voulons envoyer un message clair: même si les cyber-acteurs cherchent à masquer leur identité, nos capacités les identifieront à terme.»

«La réponse conjointe du NCSC et du
La NSA est clairement censée envoyer un message aux groupes APT hostiles
attribuer une attaque avec précision, même si des mesures substantielles sont prises pour brouiller le
l’origine des acteurs », a déclaré Richard Gold, responsable de l’ingénierie de la sécurité chez
Ombres numériques.

Mais si l’attribution «est excellente pour pointer du doigt et blâmer» et émoustiller les médias, «lors d’une attaque active, peu importe qui vous attaque ou pourquoi", a déclaré Chris Morales, responsable de l’analyse de la sécurité chez Vectra. "Tout ce qui compte, c'est que quelqu'un vous attaque, que vous soyez au courant et que vous décidiez de ce que vous allez faire."

Dans une campagne de 18 mois, Turla, alias
Uroboros, «a acquis un accès aux outils iraniens et à la capacité d’identifier
et les exploiter pour atteindre leurs propres objectifs », a déclaré Chichester. Ils étaient capables de
infiltrer des systèmes d'organisations situées dans plus de 35 pays.

Les pirates russes, dans certains cas, semblaient
utiliser une adresse IP associée au groupe iranien APT34, ou OilRig, pour déployer une
implant, auquel ils ont ensuite eu accès par Turla, ou Venomous Bear, qu’un avis commun
du NCSC et de la National Security Agency (NSA), a déclaré que «Turla
pris effectivement le contrôle de victimes précédemment compromises par un autre
acteur."

Autres implants “avaient déjà été connectés
to by Virtual Private Server (VPS) adresses IP associées à l'open source
communauté de cybersécurité avec les groupes iraniens APT ", a déclaré la commission.

Une fois que Turla avait acquis les outils et les données
besoin de les utiliser, il «les a d'abord testés contre des victimes qu'ils avaient déjà
compromis en utilisant leur boîte à outils Snake, puis déployé les outils iraniens
directement à d’autres victimes », ont expliqué les agences de sécurité. “Turla a cherché
pour faciliter leur accès aux victimes d’intérêts en recherchant la présence de
des portes arrière iraniennes et d'essayer de les utiliser pour prendre pied. La mise au point
Turla s’exerce principalement au Moyen-Orient, où le ciblage
Les intérêts des menaces persistantes avancées (APT) se chevauchent. "

Une analyse du comportement de Turla lors de la recherche de backdoors iraniennes, ainsi que de la chronologie, suggère que, bien que les outils Neuron et Nautilus utilisés par le groupe aient été créés en Iran, l’avis a déclaré: «Turla utilisait ces outils et ces accès de manière indépendante pour besoins de renseignement "avec la recherche d'obus de porte dérobée indiquant que les pirates russes" ne savaient pas vraiment où ils avaient été déployés ".

Le NCSC avait déjà émis des avis en 2017 et 2018 sur l’utilisation de Neuron et Nautilus par Turla, qui était parfois utilisée avec Snake. Une analyse ultérieure a révélé que les outils avaient été utilisés contre un large éventail de victimes, avec une forte concentration au Moyen-Orient. Parmi les victimes de ces attaques figuraient des groupes militaires, des ministères, des organisations scientifiques et des universités.

Dans un article publié en juin sur le blog, les experts de Symantec ont présenté trois campagnes, ciblant 13 organisations des secteurs gouvernemental, de l'éducation et des technologies de l'information / communications, dans cinq régions du monde, au cours desquelles Turla a probablement détourné l'infrastructure de commande et de contrôle de OilRig afin de fournir une solution personnalisée. porte dérobée aux victimes prévues.

Le détournement ou la superposition des efforts d’un autre groupe de piratage s’est généralisée. «Des groupes d’APT de divers horizons ont été observés en train de compromettre l’infrastructure de chacun, car ils offrent le double avantage de non seulement cacher vos propres traces, mais également de vous donner un accès immédiat à toutes les cibles compromises par l’acteur de la menace initiale», a déclaré Gold. «Cette attaque pourrait même avoir un angle de légitime défense. En compromettant un autre groupe APT, tel qu'APT34, le groupe Turla peut voir si l'une de leurs propres infrastructures ou ressources a été attaquée par APT34. "

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.