De Britney Spears aux ambassades, ESET livre ses recherches sur le groupe Turla |
Il y a quelques mois, le groupe de cybercriminels Turla utilisait le compte Instagram® de Britney Spears pour mener des campagnes de cyberespionnage. ESET® est le premier éditeur à identifier et documenter leur nouvelle backdoor, nommée Gazer, visant principalement des institutions européennes. ESET publie un document complet d’analyse.
Qui est le groupe Turla Groupe de cybercriminels menant des campagnes d’espionnage depuis plusieurs années, il cible principalement les gouvernements européens et les ambassades. Turla est connu pour mener des attaques dites de « point d’eau » (surveiller les habitudes de navigation de la victime) et des campagnes de spearphishing (e-mails infectés ciblés). Les chercheurs d’ESET ont découvert la backdoor Gazer sur nombre d’ordinateurs à travers le monde, mais principalement en Europe. « Les techniques employées sont similaires aux précédentes campagnes menées par le groupe : une première porte dérobée s’installe par spearphishing, puis une seconde backdoor est envoyée sur le poste compromis. Il s’agit ici de Gazer », explique Jean-Ian Boutin, senior Malware Researcher chez ESET. Détecter l’indétectable Comme d’autres backdoors « second stage » avant elle (telles que Carbon et Kazuar), Gazer reçoit ses tâches au format chiffré à partir d’un serveur C&C. Ce dernier peut être une machine déjà infectée ou n’importe quelle autre machine en réseau. Le Groupe Turla utilise ses propres moyens de chiffrement reposant sur 3DES et RSA. L’analyse des clés RSA montre qu’elles contiennent la clé publique du serveur contrôlée par l’attaquant et une clé privée. Pour chaque échantillon analysé, ESET a découvert que les clés utilisées sont uniques et que tous les échanges avec le C&C sont chiffrés. Architecture de la backdoor Gazer Pour échapper à la détection et assurer sa persistance, les chercheurs ESET ont découvert que la menace utilisait un système de fichier virtuel dans le registre Windows. « Turla va très loin pour éviter d’être repéré. Le groupe supprime tout d’abord ses fichiers des systèmes compromis, puis change les chaînes et les indicateurs de compromission pour chaque version de leur backdoor. On note un certain sens de l’humour des cybercriminels qui utilisent des références à des jeux vidéo dans leur code. », poursuit Jean-Ian Boutin. Pour plus de détails concernant la nouvelle backdoor employée par Turla, consultez WeLiveSecurity ou notre livre blanc. Nous restons à votre disposition pour plus de renseignements.
NOTRE MÉTIER :
FORMATIONS EN CYBERCRIMINALITE, RGPD ET DPO : En groupe dans la toute la France ou individuelle dans vos locaux sous forme de conférences, ou de formations, de la sensibilisation à la maîtrise du sujet, découvrez nos formations ; EXPERTISES TECHNIQUES : Pour prouver un dysfonctionnement, dansl e but de déposer plainte ou de vous protéger d’une plainte, une expertise technique vous servira avant procès ou pour constituer votre dossier de défense ; COLLECTE & RECHERCHE DE PREUVES : Nous mettons à votre disposition notre expérience en matière d’expertise technique et judiciaire ainsi que nos meilleurs équipements en vue de collecter ou rechercher des preuves dans des téléphones, ordinateurs et autres équipements numériques ; AUDITS RGPD / AUDIT SÉCURITÉ / ANALYSE D’IMPACT : Fort de notre expérience d’une vingtaine d’années, de notre certification en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005) et des formations suivies auprès de la CNIL, nous réaliseront un état des lieux (audit) de votre installation en vue de son amélioration, d’une analyse d’impact ou de sa mise en conformité ; MISE EN CONFORMITÉ CNIL/RGPD : Nous mettons à niveau une personne de votre établissement qui deviendra référent CNIL et nous l’assistons dans vos démarches de mise en conformité avec le RGPD (Réglement Européen relatif à la Protection des Données à caractère personnel). (Numéro formateur n°93 84 03041 84 (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle)
|
Source : Boîte de réception (570) – denis.jacopini@gmail.com – Gmail
Aucun commentaire jusqu'à présent.