Opération Epic Turla : les services européens de renseignement espionnés

espionnage, espionner

Deux éditeurs de sécurité, Symantec et Kasperky ont levé le voile sur une vaste opération de cyberespionnage visant notamment des agences européennes de renseignements.

La température est montée d’un cran dans le cadre de la conférence Black Hat après les révélations de Symantec et Kaspersky. Les deux éditeurs spécialisés dans la sécurité informatique ont mis à profit la session du jeudi 7 août pour exposer les résultats de leurs enquêtes respectives sur une cyber-attaque d’envergure qui a fait, depuis le début de l’année, plusieurs centaines de victimes liées à des gouvernements ou à des organisations militaires, selon nos confrères d’ITespresso.

Bien que menés séparément, les travaux des deux sociétés se recoupent en de nombreux points. Pour Kaspersky comme pour Symantec, il s’agit d’une opération sans précédent par le seul fait qu’elle a atteint avec succès… deux agences de renseignement basées en Europe et au Moyen-Orient.

Probablement lancée à l’initiative d’un État-nation, cette campagne au long cours a exploité une combinaison de logiciels malveillants déjà utilisée depuis au moins quatre ans à des fins de piratage informatique. Parmi les principaux vecteurs d’infection figure, outre le phishing, la technique du « watering hole », en d’autre termes le détournement de sites Web légitimes (au moins 84 ont été affectés depuis 2012, selon Symantec). Lorsque l’utilisateur visitait l’un de ces sites, son navigateur envoyait automatiquement, en arrière-plan, une « empreinte » unique permettant de contrôler les paramètres du système afin de détecter d’éventuelles failles, par exemple via des plugins vulnérables.

Un cocktail de Trojan dédié à l’espionnage étatique

Le malware Trojan.Wipbot – aussi connu sous le nom de Tavdig – entrait alors en scène pour conduire un examen rapide de la machine infectée. Si la cible était jugée « digne d’intérêt » en regard des motivations des pirates, le malware Trojan.Turla (appelé aussi Uroboros, Snake ou Carbon) prenait le relais. Paramétré pour s’exécuter automatiquement à chaque démarrage, il ouvrait, au lancement du navigateur Web, une porte dérobée pour les pirates afin de récupérer des fichiers, de transférer d’autres logiciels malveillants…

Kaspersky évoque une contamination assez virulente, s’étendant rapidement à l’ensemble du réseau auquel sont connectés les ordinateurs infectés. Sur la liste des victimes, on recense des ministères des Affaires étrangères et de l’Intérieur, des ambassades, du personnel militaire et même des sociétés de l’industrie pharmaceutique.

La plupart des cas sont localisés en Europe centrale et de l’Est (Pologne, Roumanie, Grèce, Jordanie, Biélorussie), mais l’Allemagne, la Belgique, la France et les Etats-Unis ont aussi été touchés… souvent via des ambassades dont le système informatique est relié à des réseaux privés dans des pays de l’ex-URSS.

Un soupçon de Russie

D’une constitution « ultra-sophistiquée », Turla a permis l’exfiltration d’une grande quantité de documents texte, de feuilles de calcul et d’e-mails. Le malware embarquait notamment une fonction de recherche pour des chaînes de caractères précises portant sur des capitales européennes, et des organisations comme l’OTAN.

Ni Kaspersky, ni Symantec n’estime détenir suffisamment d’éléments pour déterminer l’origine de cette attaque. L’interface d’administration des différents outils et le mot « zagruzchick » (bootloader) utilisé dans le code laisse à penser que les pirates sont russophones.

crédit photo  © Andriy Solovyov – shutterstock

A lire aussi :

En 2013, la facture de la cybercriminalité évaluée à 445 milliards de dollars