Infos

Détails d’une attaque de Turla en Suisse dévoilés

Jusqu’à présent, les autorités suisses avaient préféré gardé le silence sur l’attaque dont avait été victimeRUAG, fournisseur local du ministère de la Défense. Ce n’est que lundi dernier que les détails de ce cyberincident sont apparus, lorsque le CERT suisse a décidé de lever le voile sur la question et a expliqué la manière dont les pirates avaient opéré.

Bien que les experts n’ont pas précisé les données qui avaient été dérobées, le rapport publié examine en détail l’attaque cible. On apprend ainsi qu’en guise d’outil principal, les individus malintentionnés ont utilisé un malware de la famille Turla avec d’autres trojans et rootkits. D’après le CERT, les ordinateurs de RUAG ont été infectés en 2014 ; les pirates n’ont pas agi dans la précipitation. Ils ont préféré la méthode et la détermination.

Le grand public a découvert cet incident au début du mois uniquement. Guy Parmelin, le ministre suisse de la Défense, avait admis l’attaque et le vol d’informations quelques temps plus tôt, lors du forum économique mondial de Davos en janvier.

Le CERT suisse considère que l’attaque contre RUAG fut un acte d’espionnage. Les individus malintentionnés ont déployé tous les efforts pour passer inaperçus ; les premières attaques leur ont permis de progresser dans le réseau. Les experts constatent que les « auteurs de l’attaque ont agi avec beaucoup de retenue lors de l’insertion et de la progression. Ils ont attaqué uniquement les cibles qui les intéressaient à l’aide de différents outils comme les listes d’adresses IP cibles et la création d’empreintes avant et après l’insertion initiale.

Une fois dans le réseau de RUAG, les attaquants ont entamé une propagation horizontale en infectant d’autres appareils et en augmentant leur niveau d’autorisation. « Un des objectifs était le service (Microsoft) Active Directory qui offrait la possibilité de contrôler d’autres appareils et d’accéder aux données intéressantes à l’aide des privilèges et des stratégies de groupe correspondant » écrivent les représentants du CERT dans le rapport.

Sur la base des outils utilisés, on peut affirmer que l’attaque menée contre RUAG fait partie de la campagne APT de grande envergure Epic Turla qui a visé des institutions publiques, des ambassades et des institutions militaires. Les organisateurs d’Epic Turla, une campagne présentée en détails par les experts de Kaspersky Lab en 2014, utilisent en général le harponnage, des codes d’exploitation pour Windows et Adobe Reader ainsi que des attaques selon la méthode du « point d’eau » avec des éléments d’ingénierie sociale.

Dans ce cas précis, le CERT a remarqué que la partie principale du malware téléchargeait les données cibles sur des serveurs secondaires et recevait en échange des commandes pour réaliser d’autres étapes. Afin d’éviter la détection, les attaquants avaient créé dans le réseau RUAG une hiérarchie complète de canaux de communication entre les appareils infectés. Certains ordinateurs dans ce sous-réseau P2P remplissaient les fonctions de routeur tandis que d’autres n’avaient aucun contact avec le centre de commandes et servaient uniquement de nœud de travail.

Les détails de l’attaque contre RUAG à l’aide de Turla constituent une véritable mine d’or pour Kaspersky Lab qui s’intéresse de près à cette campagne. « L’utilisation de BeEF et l’activité liée à Google Analytics confirment les découvertes que nous avions publiées dans le rapport sur Epic Turla, à savoir que Turla évalue le système attaqué et déploie sur celui-ci des outils complémentaires » explique Kurt Baumgartner, principal expert antivirus de la société de sécurité informatique. Il affirme que les attaquants, avant l’infection, créent une empreinte complexe afin de confirmer l’adéquation du système cible à leurs fins. Ensuite, ils organisent l’attaque via la méthode du « point d’eau » et installent des redirections.

« L’attaque par la méthode du ‘point d’eau’ consiste à rediriger le trafic vers un site malveillant » précisent les experts suisses dans leur rapport. Ils poursuivent en indiquant que ces « redirections peuvent être les plus diverses, depuis les liens raccourcis ou un JavaScript masqué sous les traits de scénarios Google Analytics. Le site malveillant compare l’adresse IP de la victime à une liste de cible et en cas de correspondance, il renvoie un script pour créer l’empreinte ».

Le résultat est renvoyé à ce même serveur, puis il est vérifié manuellement. Si l’ordinateur présente un intérêt pour les attaquants, ceux-ci l’infecteront via un code d’exploitation ou des techniques d’ingénierie sociale. Ensuite, comme l’expliquent les experts du CERT, « l’étape suivante consiste à exécuter un script plus complexe pour créer l’empreinte. Ce script tente de récolter un maximum d’informations sur la victime, à l’aide d’un JavaScript emprunté au cadre BeEF« .

Selon Kurt Baumgartner, l’outil unique utilisé pour l’insertion dans le réseau dans le cadre de la campagne d’Epic Turla est bien plus complexe que certains des outils employés par les attaquants une fois à l’intérieur du réseau. La suite des opérations, bien qu’efficace, est dépourvue de l’originalité affichée dans la recherche du point d’accès. Pour augmenter leur présence dans le réseau attaqué, les pirates utilisent différents outils répandus comme Mimikatz, Pipelist, Psexec, Dsquery, ShareEnum.

Les membres du CERT ont évité de spéculer sur l’identité des auteurs de l’attaque. Comme ils l’expliquent dans le rapport : « Tout d’abord, il est pratiquement impossible de trouver des preuves fiables. Ensuite, nous estimons que cela n’est pas très important : le nombre d’individus qui se tournent vers les malwares et les attaques réseau pour atteindre leurs objectifs est malheureusement élevé.

Le rapport a été rédigé par le CERT suisse en coopération avec MELANI, un centre d’analyse et d’informations créé dans le cadre du programme national de protection contre les cyberattaques.

Fonte: Threatpost

Détails d’une attaque de Turla en Suisse dévoilés

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception