Utrecht, le 9 septembre – Lors d’une enquête sur le tristement célèbre groupe de cyber-espionnage russophone Turla, les chercheurs de Kaspersky Lab ont découvert comment ce groupe parvenait à empêcher la détection de ses activités et de sa localisation physique. Le groupe exploite des points faibles dans la sécurité de réseaux de satellites mondiaux pour atteindre l’anonymat ultime.

Turla est un groupe de cyber-espionnage avancé, actif depuis plus de 8 ans. Les hackers derrière Turla ont contaminé des centaines d’ordinateurs dans plus de 45 pays, dont des machines d’organismes publics et d’ambassades, ainsi que d’organisations des secteurs de la défense, de l’enseignement, de la recherche et des entreprises pharmaceutiques. Dans une première phase, le backdoor Epic effectue le profilage de victimes. Les pirates se servent ensuite dans les dernières phases de l’attaque, exclusivement aux fins les plus lucratives, d’un vaste mécanisme de communication basé sur des satellites pour dissimuler leurs traces.

La communication satellite est surtout connue comme outil pour les émissions TV et la communication sécurisée; néanmoins, elle est également utilisée pour offrir l’accès à l’internet. Les services de ce genre sont généralement utilisés dans des endroits éloignés où tous les autres types d’accès à l’internet sont instables, lents ou non disponibles. La connexion downstream-only est l’une des connexions internet satellite les plus répandues et abordables.

Dans ce cadre, les demandes sortantes du PC d’un utilisateur sont transmises par le biais de lignes conventionnelles (une connexion câblée ou GPRS), alors que tout le trafic entrant provient du satellite. Cette technologie permet à l’utilisateur d’atteindre une vitesse de téléchargement relativement élevée. Elle présente toutefois un gros inconvénient: tout le trafic downstream revient non crypté vers le PC. Pour peu de disposer du matériel et logiciel adéquat peu coûteux, n’importe quel utilisateur malintentionné peut intercepter facilement ce trafic et avoir ainsi accès à toutes les données que les utilisateurs de ces liens sont en train de télécharger.

Le groupe Turla profite de cette faiblesse d’une autre manière: pour dissimuler l’emplacement de ses serveurs de commande et de contrôle (C&C), l’une des principales composantes de l’infrastructure malveillante. Le server C&C est en quelque sorte une « base » pour les maliciels mis en œuvre contre les machines cibles. En découvrant l’emplacement de ce genre de serveur, les chercheurs peuvent obtenir des détails sur l’acteur se cachant derrière une opération. Voici comment le groupe Turla parvient à éviter ce genre de risques:

· Le groupe « écoute » d’abord le « downstream » du satellite pour identifier des adresses IP actives d’internautes utilisant une connexion satellite et en ligne à ce moment précis.

· Il choisit ensuite une adresse IP en ligne qu’il veut utiliser pour cacher un serveur C&C, sans que l’utilisateur légitime s’en rende compte.

· Les machines contaminées par Turla sont ensuite chargées de faire passer des données vers les adresses IP choisies d’utilisateurs réguliers d’internet par satellite. Ces données transitent par des lignes conventionnelles vers les téléports du fournisseur d’internet par satellite et ensuite vers le satellite, et enfin du satellite vers les utilisateurs avec les adresses IP choisies.

Il est intéressant de savoir que l’utilisateur légitime dont l’adresse IP a été utilisée par les pirates pour recevoir des données d’une machine contaminée reçoit lui aussi ces paquets de données, mais de manière à peine perceptible. La raison en est que les pirates Turla donnent aux machines contaminées l’instruction d’envoyer des données vers des ports qui, dans la majorité des cas, sont fermés par défaut. Le PC d’un utilisateur légitime va simplement déposer ces paquets, tandis que le serveur C&C Turla, qui ouvre ces ports, recevra et traitera bel et bien ces données.

Autre aspect intéressant de la tactique de Turla: le groupe utilise les fournisseurs d’internet par satellite du Moyen-Orient et de pays africains. Dans leur enquête, les experts de Kaspersky Lab ont découvert que le groupe Turla utilise des adresses IP de fournisseurs d’Afghanistan, du Congo, du Liban, de Libye, du Niger, du Nigéria, de Somalie et de Zambie.

Les satellites qui sont utilisés dans ces pays par des opérateurs n’ont généralement pas de couverture sur des territoires européens et d’Amérique du nord. Cela rend ce type d’attaques particulièrement difficile à étudier pour la plupart des chercheurs en sécurité.

"Par le passé, nous avons vu au moins trois groupes différents qui utilisaient des liens internet par satellite pour masquer leurs activités. La solution développée par le groupe Turla était la plus intéressante et inhabituelle dans ce cadre. Turla est en mesure d’atteindre l’anonymat ultime en exploitant une technologie utilisée à grande échelle – le trafic internet dans un sens via le satellite. Les pirates peuvent se trouver partout à portée du satellite qu’ils ont choisi, sur des zones qui peuvent atteindre des milliers de kilomètres carrés", indique Stefan Tanase, Senior Security Researcher chez Kaspersky Lab. "Il est dès lors pratiquement impossible de localiser les pirates. Avec la popularité croissante de ce type de méthodes, il importe pour les administrateurs système de mettre en œuvre les bonnes stratégies de défense afin de repousser les attaques de ce genre."

Les produits Kaspersky Lab détectent et bloquent avec succès les maliciels utilisés par le groupe Turla. Lisez-en plus sur Securelist.com sur les mécanismes mis en œuvre par Turla pour se servir abusivement de liens internet satellite et des Indicators of Compromise.