Détails d’une attaque de Turla en Suisse dévoilés

Jusqu’à présent, les autorités suisses avaient préféré gardé le silence sur l’attaque dont avait été victimeRUAG, fournisseur local du ministère de la Défense. Ce n’est que lundi dernier que les détails de ce cyberincident sont apparus, lorsque le CERT suisse a décidé de lever le voile sur la question et a expliqué la manière dont les pirates avaient opéré.

Bien que les experts n’ont pas précisé les données qui avaient été dérobées, le rapport publié examine en détail l’attaque cible. On apprend ainsi qu’en guise d’outil principal, les individus malintentionnés ont utilisé un malware de la famille Turla avec d’autres trojans et rootkits. D’après le CERT, les ordinateurs de RUAG ont été infectés en 2014 ; les pirates n’ont pas agi dans la précipitation. Ils ont préféré la méthode et la détermination.

Le grand public a découvert cet incident au début du mois uniquement. Guy Parmelin, le ministre suisse de la Défense, avait admis l’attaque et le vol d’informations quelques temps plus tôt, lors du forum économique mondial de Davos en janvier.

Le CERT suisse considère que l’attaque contre RUAG fut un acte d’espionnage. Les individus malintentionnés ont déployé tous les efforts pour passer inaperçus ; les premières attaques leur ont permis de progresser dans le réseau. Les experts constatent que les « auteurs de l’attaque ont agi avec beaucoup de retenue lors de l’insertion et de la progression. Ils ont attaqué uniquement les cibles qui les intéressaient à l’aide de différents outils comme les listes d’adresses IP cibles et la création d’empreintes avant et après l’insertion initiale.

Une fois dans le réseau de RUAG, les attaquants ont entamé une propagation horizontale en infectant d’autres appareils et en augmentant leur niveau d’autorisation. « Un des objectifs était le service (Microsoft) Active Directory qui offrait la possibilité de contrôler d’autres appareils et d’accéder aux données intéressantes à l’aide des privilèges et des stratégies de groupe correspondant » écrivent les représentants du CERT dans le rapport.

Sur la base des outils utilisés, on peut affirmer que l’attaque menée contre RUAG fait partie de la campagne APT de grande envergure Epic Turla qui a visé des institutions publiques, des ambassades et des institutions militaires. Les organisateurs d’Epic Turla, une campagne présentée en détails par les experts de Kaspersky Lab en 2014, utilisent en général le harponnage, des codes d’exploitation pour Windows et Adobe Reader ainsi que des attaques selon la méthode du « point d’eau » avec des éléments d’ingénierie sociale.

Dans ce cas précis, le CERT a remarqué que la partie principale du malware téléchargeait les données cibles sur des serveurs secondaires et recevait en échange des commandes pour réaliser d’autres étapes. Afin d’éviter la détection, les attaquants avaient créé dans le réseau RUAG une hiérarchie complète de canaux de communication entre les appareils infectés. Certains ordinateurs dans ce sous-réseau P2P remplissaient les fonctions de routeur tandis que d’autres n’avaient aucun contact avec le centre de commandes et servaient uniquement de nœud de travail.

Les détails de l’attaque contre RUAG à l’aide de Turla constituent une véritable mine d’or pour Kaspersky Lab qui s’intéresse de près à cette campagne. « L’utilisation de BeEF et l’activité liée à Google Analytics confirment les découvertes que nous avions publiées dans le rapport sur Epic Turla, à savoir que Turla évalue le système attaqué et déploie sur celui-ci des outils complémentaires » explique Kurt Baumgartner, principal expert antivirus de la société de sécurité informatique. Il affirme que les attaquants, avant l’infection, créent une empreinte complexe afin de confirmer l’adéquation du système cible à leurs fins. Ensuite, ils organisent l’attaque via la méthode du « point d’eau » et installent des redirections.

« L’attaque par la méthode du ‘point d’eau’ consiste à rediriger le trafic vers un site malveillant » précisent les experts suisses dans leur rapport. Ils poursuivent en indiquant que ces « redirections peuvent être les plus diverses, depuis les liens raccourcis ou un JavaScript masqué sous les traits de scénarios Google Analytics. Le site malveillant compare l’adresse IP de la victime à une liste de cible et en cas de correspondance, il renvoie un script pour créer l’empreinte ».

Le résultat est renvoyé à ce même serveur, puis il est vérifié manuellement. Si l’ordinateur présente un intérêt pour les attaquants, ceux-ci l’infecteront via un code d’exploitation ou des techniques d’ingénierie sociale. Ensuite, comme l’expliquent les experts du CERT, « l’étape suivante consiste à exécuter un script plus complexe pour créer l’empreinte. Ce script tente de récolter un maximum d’informations sur la victime, à l’aide d’un JavaScript emprunté au cadre BeEF« .

Selon Kurt Baumgartner, l’outil unique utilisé pour l’insertion dans le réseau dans le cadre de la campagne d’Epic Turla est bien plus complexe que certains des outils employés par les attaquants une fois à l’intérieur du réseau. La suite des opérations, bien qu’efficace, est dépourvue de l’originalité affichée dans la recherche du point d’accès. Pour augmenter leur présence dans le réseau attaqué, les pirates utilisent différents outils répandus comme Mimikatz, Pipelist, Psexec, Dsquery, ShareEnum.

Les membres du CERT ont évité de spéculer sur l’identité des auteurs de l’attaque. Comme ils l’expliquent dans le rapport : « Tout d’abord, il est pratiquement impossible de trouver des preuves fiables. Ensuite, nous estimons que cela n’est pas très important : le nombre d’individus qui se tournent vers les malwares et les attaques réseau pour atteindre leurs objectifs est malheureusement élevé.

Le rapport a été rédigé par le CERT suisse en coopération avec MELANI, un centre d’analyse et d’informations créé dans le cadre du programme national de protection contre les cyberattaques.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *