Les attaques du groupe de pirates Turla dévoilées
Des chercheurs d'Eset ont découvert un nouveau programme d'espionnage qui peut être attribué au groupe de cyberespionnage Turla.
Dans le cas actuel, il s'agit d'une nouvelle porte dérobée appelée LightNeuron, qui vise les serveurs Microsoft Exchange en tant que menace persistante avancée (APT). Il s'agit du premier programme malveillant connu à abuser de l'agent de transport Exchange. Turla (également appelé Snake ou Uroburos) peut ainsi lire, modifier ou bloquer tout e-mail transitant par le serveur de messagerie. Il peut même envoyer des messages au nom d'utilisateurs légitimes. Jusqu'à présent, on sait que la porte dérobée a été utilisée contre des cibles en Europe, au Moyen-Orient et au Brésil.
"Autrefois, les rootkits du noyau constituaient un moyen éprouvé pour les APT réussies. Mais ils ont perdu de leur importance en raison de l'amélioration de l'architecture de sécurité des systèmes d'exploitation. Des portes dérobées comme LightNeuron pourraient combler cette lacune et devenir le Saint Graal des cybercriminels", explique Thomas Uhlemann, spécialiste de la sécurité chez Eset. "Avec ce nouveau malware, Turla s'arroge des droits d'accès étendus sur Exchange Server et prend ainsi le contrôle total de toutes les communications par e-mail de l'organisation attaquée".
Attaques sur les serveurs Exchange
Selon les analyses, la porte dérobée est active depuis 2014. La nouveauté de ce programme d'espionnage est qu'il installe un agent de transport malveillant dans Microsoft Exchange. Une fois installé, celui-ci traite tous les e-mails entrants et sortants. Les agents de transport sont normalement utilisés par exemple comme filtre anti-spam. Pour donner des ordres au programme d'espionnage, les criminels utilisent des e-mails manipulés avec des fichiers PDF et JPG en pièce jointe. Des commandes cachées ont été intégrées dans ces fichiers à l'aide de techniques stéganographiques.
L'Europe fait également partie des objectifs
Turla est l'un des plus anciens groupes de cyberespionnage avec plus d'une décennie d'expérience. Le groupe se concentre principalement sur des cibles de haut niveau telles que les gouvernements, les entreprises et les institutions diplomatiques en Europe, en Asie centrale et au Moyen-Orient. Des organisations importantes telles que le ministère des Affaires étrangères de la République fédérale d'Allemagne, le ministère américain de la Défense, l'entreprise d'armement suisse Ruag ou l'armée française ont déjà été infiltrées avec succès par Turla. Avec LightNeuron, les cyberespions visent actuellement les ministères des affaires étrangères et les représentations diplomatiques en Europe de l'Est et au Proche-Orient. On ignore pour l'instant s'il existe d'autres cibles. Selon les estimations d'Eset, l'extension de la campagne à l'Europe occidentale ne pose aucun problème technologique au groupe d'espionnage Turla.
Le site résultats complets disponibles sur WeLiveSecurity.
