Le groupe russe Turla déguisé en pirate iranien lors d'attaques – Serveur d’impression

Le groupe de hackers russes Turla s'est déguisé en Iran et a volé des secrets d’État à plusieurs pays, ont annoncé lundi des autorités américaines et britanniques. "Identifier les responsables d'attaques peut être très difficile, mais le poids des preuves laisse à penser que le groupe Turla est derrière cette campagne", a déclaré Paul Chichester, directeur des opérations du Centre national de cybersécurité du GCHQ, dans un communiqué. «Nous voulons envoyer un message clair: même si les cyber-acteurs cherchent à masquer leur identité, nos capacités les identifieront à terme.» «La réponse conjointe du NCSC et du La NSA est clairement censée envoyer un message aux groupes APT hostiles attribuer une attaque avec précision, même si des mesures substantielles sont prises pour brouiller le l’origine des acteurs », a déclaré Richard Gold, responsable de l’ingénierie de la sécurité chez Ombres numériques. Mais si l’attribution «est excellente pour pointer du doigt et blâmer» et émoustiller les médias, «lors d’une attaque active, peu importe qui vous attaque ou pourquoi", a déclaré Chris Morales, responsable de l’analyse de la sécurité chez Vectra. "Tout ce qui compte, c'est que quelqu'un vous attaque, que vous soyez au courant et que vous décidiez de ce que vous allez faire." Dans une campagne de 18 mois, Turla, alias Uroboros, «a acquis un accès aux outils iraniens et à la capacité d’identifier et les exploiter pour atteindre leurs propres objectifs », a déclaré Chichester. Ils étaient capables de infiltrer des systèmes d'organisations situées dans plus de 35 pays. Les pirates russes, dans certains cas, semblaient utiliser une adresse IP associée au groupe iranien APT34, ou OilRig, pour déployer une implant, auquel ils ont ensuite eu accès par Turla, ou Venomous Bear, qu’un avis commun du NCSC et de la National Security Agency (NSA), a déclaré que «Turla pris effectivement le contrôle de victimes précédemment compromises par un autre acteur." Autres implants “avaient déjà été connectés to by Virtual Private Server (VPS) adresses IP associées à l'open source communauté de cybersécurité avec les groupes iraniens APT ", a déclaré la commission. Une fois que Turla avait acquis les outils et les données besoin de les utiliser, il «les a d'abord testés contre des victimes qu'ils avaient déjà compromis en utilisant leur boîte à outils Snake, puis déployé les outils iraniens directement à d’autres victimes », ont expliqué les agences de sécurité. “Turla a cherché pour faciliter leur accès aux victimes d’intérêts en recherchant la présence de des portes arrière iraniennes et d'essayer de les utiliser pour prendre pied. La mise au point Turla s’exerce principalement au Moyen-Orient, où le ciblage Les intérêts des menaces persistantes avancées (APT) se chevauchent. " Une analyse du comportement de Turla lors de la recherche de backdoors iraniennes, ainsi que de la chronologie, suggère que, bien que les outils Neuron et Nautilus utilisés par le groupe aient été créés en Iran, l’avis a déclaré: «Turla utilisait ces outils et ces accès de manière indépendante pour besoins de renseignement "avec la recherche d'obus de porte dérobée indiquant que les pirates russes" ne savaient pas vraiment où ils avaient été déployés ". Le NCSC avait déjà émis des avis en 2017 et 2018 sur l’utilisation de Neuron et Nautilus par Turla, qui était parfois utilisée avec Snake. Une analyse ultérieure a révélé que les outils avaient été utilisés contre un large éventail de victimes, avec une forte concentration au Moyen-Orient. Parmi les victimes de ces attaques figuraient des groupes militaires, des ministères, des organisations scientifiques et des universités. Dans un article publié en juin sur le blog, les experts de Symantec ont présenté trois campagnes, ciblant 13 organisations des secteurs gouvernemental, de l'éducation et des technologies de l'information / communications, dans cinq régions du monde, au cours desquelles Turla a probablement détourné l'infrastructure de commande et de contrôle de OilRig afin de fournir une solution personnalisée. porte dérobée aux victimes prévues. Le détournement ou la superposition des efforts d’un autre groupe de piratage s’est généralisée. «Des groupes d’APT de divers horizons ont été observés en train de compromettre l’infrastructure de chacun, car ils offrent le double avantage de non seulement cacher vos propres traces, mais également de vous donner un accès immédiat à toutes les cibles compromises par l’acteur de la menace initiale», a déclaré Gold. «Cette attaque pourrait même avoir un angle de légitime défense. En compromettant un autre groupe APT, tel qu'APT34, le groupe Turla peut voir si l'une de leurs propres infrastructures ou ressources a été attaquée par APT34. "

Click to rate this post! [Total: 0 Average: 0]