Le groupe de cyber-espions Turla détourne les liaisons Internet par satellite pour infecter ses victimes

Les pirates mafieux sont parfois puissamment armés pour détourner nos défenses, en particulier les défenses des pays occidentaux, ce qui laisse planer un sérieux doute quant à leurs motivations... Ainsi en est-il de Turla, un groupe de cyber-espionnage russophone, actif depuis plus d‘une dizaine d’années.

Ses membres ont infecté des ordinateurs dans plus d’une cinquantaine de pays, dont les Etats-Unis. Parmi les organismes infestés, on trouve des administrations gouvernementales et des ambassades, mais aussi des organismes militaires, des établissements d’enseignement, des instituts de recherche et des laboratoires pharmaceutiques.

Le groupe Turla dispose d’un large éventail d'outils visant en particulier à récolter les données provenant d'institutions européennes et américaines. Pour échapper à la détection de ses activités et de sa localisation, il change ses outils à chaque nouvelle opération. Il modifie également les mutex et les noms de dossier de chaque version : dans les trois années qui ont suivi le développement de la version nommée Carbon, 8 versions actives à ce jour ont été détectées par les chercheurs ESET.

Le mode opératoire de Turla

Connu pour être minutieux, le groupe Turla effectue d'abord un travail de reconnaissance sur les systèmes de leur victime avant de déployer leurs outils tels que Carbon :

  1. la première étape d’infection peut avoir lieu soit parce que l’utilisateur reçoit un e-mail infecté (spear-phishing), soit parce qu’il navigue sur un site Internet compromis ;
  2. généralement, les pirates ciblent les sites fréquemment utilisés par leur victime (technique connue sous le nom d'attaque de point d'eau : surveillance des habitudes de navigation de la victime) ;
  3. lorsque le système est infecté, une backdoor (comme Tavdig ou Skipper) s’installe sur la machine de la victime ;
  4. une fois la phase de reconnaissance terminée, une seconde backdoor (comme Carbon) est installée sur des systèmes clés.

illustration_fonctionnement_comm_C&C

La backdoor Carbon

L'architecture de Carbon repose sur un dropper qui installe les composants du malware et le fichier de configuration, ainsi qu’un composant qui communique avec les serveurs C&C et un orchestrateur qui gère les tâches et les expédie vers d'autres ordinateurs du réseau. Pour communiquer avec le serveur C&C et exécuter l’orchestrateur, Carbon s’injecte dans un processus légitime (DLL).

Comme l’indiquent les experts d’ESET, on note des ressemblances entre la backdoor Carbon et les autres outils utilisés par ce groupe (rootkit Uroburos), notamment dans l’implémentation des objets de communication. Les structures et les tables virtuelles sont identiques, si ce n’est qu'il y a moins de canaux de communication pour Carbon. La backdoor pourrait être la version allégée de Uroburos, sans composant de noyau ni d’exploits

Intercepter le trafic du satellite

Les pirates font ensuite appel à un vaste mécanisme de communication par satellite dans les phases finales de l’attaque, ce qui les aide à masquer leurs traces uniquement lorsqu’ils s’attaquent à des cibles de très haut niveau :

  1. le groupe commence par « écouter » le flux descendant du satellite afin d’identifier les adresses IP actives des internautes connectés à ce dernier ;
  2. il choisit une adresse IP connectée pour s’en servir dans le but de masquer un serveur C&C, à l’insu de l’utilisateur légitime ;
  3. les machines infectées par Turla reçoivent pour instruction d’exfiltrer des données vers les adresses IP désignées d’internautes régulièrement connectés par satellite. Les données sont acheminées via des lignes classiques vers les téléports du fournisseur d’accès Internet satellitaire, puis jusqu’au satellite, et enfin depuis le satellite jusqu’aux utilisateurs dont les adresses IP ont été choisies.
La backdoor Cabon Paper est décryptée sur le site ESET. Image d’entête 594944822 @ iStock MaksimYremenko