Turla, un groupe d’espionnage russe, s’est appuyé sur les infections USB d’autres pirates

Aujourd’hui, la société de cybersécurité Mandiant révélé qu’il a découvert un incident au cours duquel, dit-il, les hackers de Turla…largement soupçonné de travailler au service de l’agence de renseignement russe FSB— a obtenu l’accès aux réseaux des victimes en enregistrant les domaines expirés de logiciels malveillants cybercriminels vieux de près de dix ans qui se sont propagés via des clés USB infectées. En conséquence, Turla a pu prendre en charge les serveurs de commande et de contrôle de ce logiciel malveillant, à la manière d’un bernard-l’ermite, et passer au crible ses victimes pour en trouver des dignes d’être ciblées par l’espionnage.

Cette technique de détournement semble conçue pour permettre à Turla de ne pas être détectée, se cachant à l’intérieur des empreintes d’autres pirates tout en parcourant une vaste collection de réseaux. Et cela montre comment les méthodes du groupe russe ont évolué et sont devenues beaucoup plus sophistiquées au cours de la dernière décennie et demie, explique John Hultquist, qui dirige l’analyse du renseignement chez Mandiant. « Parce que les logiciels malveillants ont déjà proliféré via USB, Turla peut en tirer parti sans s’exposer. Plutôt que d’utiliser leurs propres outils USB comme agent.btz, ils peuvent s’asseoir sur ceux de quelqu’un d’autre », explique Hultquist. « Ils se greffent sur les opérations d’autres personnes. C’est une façon très intelligente de faire des affaires.

La découverte par Mandiant de la nouvelle technique de Turla a été révélée pour la première fois en septembre de l’année dernière, lorsque les intervenants de l’entreprise ont découvert une curieuse brèche dans un réseau en Ukraine, un pays qui est devenu le principal objectif de tous les services de renseignement du Kremlin après l’invasion catastrophique de la Russie en février dernier. Plusieurs ordinateurs de ce réseau avaient été infectés après que quelqu’un ait inséré une clé USB dans l’un de leurs ports et double-cliqué sur un fichier malveillant sur le lecteur qui avait été déguisé en dossier, installant un logiciel malveillant appelé Andromeda.

Andromeda est un cheval de Troie bancaire relativement courant que les cybercriminels utilisent pour voler les informations d’identification des victimes depuis 2013 déjà. Mais sur l’une des machines infectées, les analystes de Mandiant ont constaté que l’échantillon Andromeda avait discrètement téléchargé deux autres logiciels malveillants plus intéressants. Le premier, un outil de reconnaissance appelé Kopiluwak, a déjà été utilisé par Turla ; le deuxième malware, une porte dérobée connue sous le nom de Quietcanary qui comprime et siphonne des données soigneusement sélectionnées de l’ordinateur cible, a été utilisé exclusivement par Turla dans le passé. « C’était un signal d’alarme pour nous », déclare Gabby Roncone, analyste du renseignement sur les menaces chez Mandiant.

Lorsque Mandiant a examiné les serveurs de commande et de contrôle du logiciel malveillant Andromeda qui avait lancé cette chaîne d’infection, ses analystes ont constaté que le domaine utilisé pour contrôler l’échantillon Andromeda, dont le nom était une vulgaire raillerie de l’industrie antivirus, avait en fait expiré et a été réenregistré au début de 2022. En examinant d’autres échantillons d’Andromeda et leurs domaines de commande et de contrôle, Mandiant a constaté qu’au moins deux autres domaines expirés avaient été réenregistrés. Au total, ces domaines étaient liés à des centaines d’infections d’Andromède, que Turla pouvait toutes trier pour trouver des sujets dignes d’être espionnés.