Les pirates informatiques russes Tomiris ciblent l’Asie centrale pour la collecte de renseignements

24 avril 2023Ravie LakshmananCyber-espionnage

L’acteur menaçant russophone derrière une porte dérobée connue sous le nom de Tomiris se concentre principalement sur la collecte de renseignements en Asie centrale, révèlent de nouvelles découvertes de Kaspersky.

« La fin de partie de Tomiris semble toujours être le vol régulier de documents internes », ont déclaré Pierre Delcher et Ivan Kwiatkowski, chercheurs en sécurité. a dit dans une analyse publiée aujourd’hui. « L’acteur de la menace cible les entités gouvernementales et diplomatiques dans la CEI. »

La dernière évaluation de la société russe de cybersécurité est basée sur trois nouvelles campagnes d’attaques montées par l’équipe de piratage entre 2021 et 2023.

Tomiris a été révélé pour la première fois en septembre 2021 lorsque Kaspersky a mis en évidence ses liens potentiels avec Nobelium (alias APT29, Cozy Bear ou Midnight Blizzard), le groupe d’États-nations russe à l’origine de l’attaque de la chaîne d’approvisionnement SolarWinds.

Des similitudes ont également été découvertes entre la porte dérobée et une autre souche de malware appelée Kazuar, qui est attribuée au groupe Turla (alias Krypton, Secret Blizzard, Venomous Bear ou Uroburos).

Les attaques de harponnage montées par le groupe ont exploité un « ensemble d’outils polyglottes » comprenant une variété d’implants « brûleurs » peu sophistiqués qui sont codés dans différents langages de programmation et déployés à plusieurs reprises contre les mêmes cibles.

Outre l’utilisation d’outils offensifs open source ou disponibles dans le commerce, l’arsenal de logiciels malveillants personnalisés utilisé par le groupe appartient à l’une des trois catégories : téléchargeurs, portes dérobées et voleurs d’informations –

• Télémiris – Une porte dérobée Python qui utilise Telegram comme canal de commande et de contrôle (C2).
• Roopy – Un voleur de fichiers basé sur Pascal conçu pour aspirer les fichiers d’intérêt toutes les 40 à 80 minutes et les exfiltrer vers un serveur distant.
• JLORAT – Un voleur de fichiers écrit en Rust qui rassemble des informations système, exécute des commandes émises par le serveur C2, télécharge et télécharge des fichiers et capture des captures d’écran.

L’enquête de Kaspersky sur les attaques a en outre identifié des chevauchements avec un cluster Turla suivi par Mandiant appartenant à Google sous le nom UNC4210, révélant que l’implant QUIETCANARY (alias TunnusSched) avait été déployé contre une cible gouvernementale dans la CEI au moyen de Telemiris.

« Plus précisément, le 13 septembre 2022, vers 05h40 UTC, un opérateur a tenté de déployer plusieurs implants Tomiris connus via Telemiris : d’abord un chargeur Python Meterpreter, puis JLORAT et Roopy », expliquent les chercheurs.

« Ces efforts ont été contrecarrés par les produits de sécurité, ce qui a conduit l’attaquant à faire des tentatives répétées, à partir de divers endroits sur le système de fichiers. Toutes ces tentatives se sont soldées par un échec. Après une pause d’une heure, l’opérateur a réessayé à 07h19 UTC, ce temps à l’aide d’un échantillon TunnusSched/QUIETCANARY. L’échantillon TunnusSched a également été bloqué. »

Cela dit, malgré les liens potentiels entre les deux groupes, Tomiris serait séparé de Turla en raison de différences de ciblage et d’artisanat, ce qui soulève une fois de plus la possibilité d’une opération sous fausse bannière.

D’autre part, il est également très probable que Turla et Tomiris collaborent sur certaines opérations ou que les deux acteurs s’appuient sur un fournisseur de logiciels commun, comme en témoigne l’utilisation par les agences de renseignement militaires russes d’outils fournis par un sous-traitant informatique basé à Moscou nommé NTC. Vulcain.

« Dans l’ensemble, Tomiris est un acteur très agile et déterminé, ouvert à l’expérimentation », ont déclaré les chercheurs, ajoutant qu' »il existe une forme de coopération délibérée entre Tomiris et Turla ».