Posté le septembre 22, 2021 à 18:33
LE GROUPE DE HACKERS TURLA LANCE DES ATTAQUES CONTRE LES ÉTATS-UNIS ET L’AFGHANISTAN AU MOYEN DE PORTES DÉROBÉES
Le groupe de hackers Turla a recommencé à lancer des cyberattaques en utilisant une nouvelle technique sophistiquée. Le groupe de hackers a utilisé cette technique pour lancer une série d’attaques contre les États-Unis, l’Allemagne et l’Afghanistan.
Un rapport récent déposé par Cisco Talos indique que le groupe de hackers Turla utilise une nouvelle porte dérobée pour lancer des attaques plus agressives et furtives. Ce groupe est affilié à des hackers russes et est connu pour lancer des attaques de menaces persistantes avancées (APT).
Une technique simple mais efficace
Le groupe de hackers Turla a mis au point la technique de porte dérobée TinyTurla, qui se présente sous une forme simple. L’outil de porte dérobée peut être utilisé pour lancer des types d’attaques spécifiques, tels que le largage de charges utiles et le fait de ne pas être détecté. La technique de porte dérobée peut éviter d’être détectée si elle est effacée de l’appareil concerné.
Le groupe de hackers Turla est opérationnel depuis 2004 environ. Le groupe porte également d’autres noms tels que Snake et Uroburos. Il a été lié à une série d’attaques contre des personnes et des organisations importantes. Parmi ces victimes figurent des agences gouvernementales, des bureaux diplomatiques, le Pentagone, des institutions de recherche et des groupes militaires. Les hackers ont mené des attaques dans plus de 45 pays.
Il semble maintenant que le groupe de hackers ait tourné son attention vers l’Afghanistan, les États-Unis et l’Allemagne. Les rapports indiquent que le groupe de hackers a commencé à cibler l’Afghanistan avant que les États-Unis et d’autres forces militaires occidentales ne quittent le pays et que les Talibans ne prennent le contrôle du gouvernement.
Cisco Talos a également déclaré qu’il était fort probable que ces groupes de hackers utilisent l’attaque par porte dérobée pour tenter de compromettre les systèmes informatiques du précédent gouvernement afghan.
Un échantillon du logiciel malveillant de porte dérobée collecté par l’équipe a démontré qu’il se présente sous la forme d’une .DLL. Les recherches ont également indiqué que la porte dérobée a été installée en tant que service sur un appareil Windows. Le nom du fichier sera très probablement répertorié comme w64time.dll. Le fichier ne sera pas automatiquement marqué comme malveillant car il existe une autre version légitime du logiciel malveillant, appelée w32time.dll.
Une fois que la porte dérobée a été installée sur l’appareil de la victime, elle est reliée au serveur de commande et de contrôle (C2) géré et exploité par le groupe de hackers Turla. La porte dérobée se connecte ensuite au système par un canal HTTPS crypté toutes les cinq secondes. Les contrôles simultanés effectués par la technique permettent d’évaluer s’il existe des commandes ou des instructions nouvellement lancées.
TinyTurla a beaucoup de capacités, malgré une conception simple. La technique peut être utilisée pour télécharger et exécuter des fichiers et des charges utiles. En outre, elle peut également lancer des sous-processus et exporter des données à partir de l’appareil.
Toutefois, les chercheurs ont déclaré que les hackers auraient pu concevoir la porte dérobée de manière à ce que ses fonctionnalités soient limitées. Ce faisant, la technique a pu éviter d’être détectée par les dispositifs comme un outil malveillant.
Plusieurs facteurs attribuent le logiciel de piratage à Turla
Les chercheurs affirment que plusieurs raisons expliquent que le logiciel de porte dérobée soit attribué au groupe de hackers TinyTurla. Ce logiciel est utilisé depuis environ 2020, et au cours de cette période, il existe des preuves qu’il a été utilisé pour lancer plusieurs attaques.
« Une raison publique pour laquelle nous avons attribué cette porte dérobée à Turla est le fait qu’ils ont utilisé la même infrastructure que celle utilisée pour d’autres attaques qui ont été attribuées à leur infrastructure Penguin Turla », ont déclaré les chercheurs.
Les chercheurs ont également déclaré qu’il était parfois difficile pour un administrateur d’authentifier tous les logiciels et services fonctionnant sur un appareil. Ils ont toutefois souligné la nécessité de disposer de logiciels et de systèmes automatisés permettant de détecter tout service en cours d’exécution qui n’est pas connu de l’appareil.
En outre, une équipe de professionnels experts est également nécessaire pour analyser les appareils suspectés d’être infectés. Les experts pourraient aider à découvrir les services en cours d’exécution qui sont malveillants mais se déguisent en services authentiques.
Ce n’est pas la première fois que le logiciel malveillant TinyTurla fonctionnant comme porte dérobée est détecté sur des appareils. Récemment, des recherches menées par l’équipe de Kaspersky ont permis de détecter des chevauchements de code entre la porte dérobée TinyTurla et d’autres portes dérobées utilisées par d’autres hackers, comme la TAP DarkHalo/UNC2452, la porte dérobée Kazuar et la porte dérobée Sunburst.
La recherche met également en évidence des preuves concrètes qui indiquent des caractéristiques partagées entre la porte dérobée Sunburst et la porte dérobée Kazuar. Cependant, la recherche ne fournit aucune preuve concluante que les groupes de hackers sont liés les uns aux autres et qu’ils ont travaillé ensemble pour développer les outils de piratage. Cependant, tous les outils de piratage sont sophistiqués et conçus pour voler des informations de manière furtive à partir de systèmes compromis.
