Le groupe d'espionnage Turla a attaqué un ministère des affaires étrangères dans un pays de l'UE. Les chercheurs d'ESET analysent des portes dérobées jusque-là inconnues.
Le célèbre groupe APT Turla était de nouveau actif. Les chercheurs d'ESET ont découvert que les pirates avaient eu accès au réseau d'un ministère des Affaires étrangères dans un pays de l'UE. Un programme d'espionnage sophistiqué appelé Crutch a été utilisé. Le malware est une porte dérobée et est utilisé pour voler des documents sensibles. Les experts en sécurité du fabricant européen de sécurité informatique ont trouvé de nombreuses indications que le groupe Turla était le cerveau.
Tâches du programme espion
L'emplacement spécifique renforce le soupçon que Crutch n'est utilisé que contre des cibles de haut niveau très spécifiques. La tâche du logiciel espion est de faire passer clandestinement des documents sensibles et d'autres fichiers sur des comptes Dropbox contrôlés par les pirates. Les chercheurs d'ESET ont maintenant publié leur analyse détaillée de Crutch sur le blog WeliveSecurity.
« L'objectif principal de Crutch est l'exfiltration d'informations sensibles de l'organisation respective. En raison de la sophistication et des détails techniques, nous pensons que le groupe Turla est à l'origine des attaques », explique Matthieu Faou, l'un des chercheurs ESET impliqués. « De plus, le logiciel espion est capable de contourner certains systèmes de sécurité. Les pirates abusent d'une infrastructure légitime, en l'occurrence Dropbox, pour s'insérer dans le trafic réseau normal. De cette façon, les documents peuvent être éjectés sans être remarqués et de nouvelles commandes peuvent être saisies par les opérateurs.
Activité de logiciels malveillants Crutch
Afin de comprendre les activités du logiciel espion, les chercheurs d'ESET ont vérifié quand les fichiers zip étaient téléchargés sur les comptes Dropbox. Le graphique montre que Crutch était le plus actif lorsque l'organisation cible a également connu le trafic réseau le plus élevé pendant les heures de bureau générales. Donc une découverte était plus difficile.
Qui est Turla ?
Turla est un groupe de cyberespionnage actif depuis plus de 10 ans. Le groupe APT a compromis de nombreux gouvernements, en particulier des corps diplomatiques, dans le monde entier et gère un vaste arsenal de logiciels malveillants qu'ESET a documenté au cours des dernières années.
En savoir plus sur WeLiveSecurity sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.