Une campagne de cyberespionnage s’attaque à un ministère européen

Spread the love
Une campagne de cyberespionnage s'attaque à un ministère européen

Une campagne de cyberespionnage vise le ministère des Affaires étrangères d’un pays de l’Union européenne. L’attaque s’est appuyée sur une forme de logiciel malveillant jusqu’alors non documentée qui fournit une porte dérobée secrète sur les systèmes Windows compromis.

Découverts par les chercheurs en cybersécurité de la société ESET, ces outils sont conçus pour voler des documents et autres fichiers sensibles en les exfiltrant secrètement via des comptes Dropbox contrôlés par les attaquants.

publicité

Crutch serait l’œuvre de Turla

Baptisée Crutch par ses développeurs, cette campagne a été active de 2015 à 2020 et les chercheurs l’attribuent au groupe de piratage Turla, en raison de similitudes avec des campagnes Turla précédemment découvertes, comme Gazer. Les heures de travail du groupe coïncident également avec UTC+3, le fuseau horaire dans lequel se trouve Moscou. Le Centre national de cybersécurité du Royaume-Uni (NCSC) est l’un de ceux qui ont lié le groupe Turla – également connu sous les noms de Waterbug et Venomous Bear – à la Russie.

La nouvelle campagne Crutch semble conçue pour des cibles très spécifiques, dans le but de voler des documents sensibles. ESET n’a pas révélé de détails sur la cible, à part le fait qu’il s’agissait d’un ministère des Affaires étrangères d’un pays de l’UE. Ce ciblage s’inscrit dans le cadre des précédentes campagnes de Turla.

Cependant, le malware Crutch n’est déployé qu’après que les cyberattaquants ont déjà compromis le réseau cible – ce que des campagnes similaires à celle-ci ont réalisé en utilisant des attaques de spear phishing spécialement conçues.

Vol de données sensibles

Une fois que Crutch est installé comme une porte dérobée sur le système cible, il communique avec un compte Dropbox codé en dur qu’il utilise pour récupérer des fichiers tout en restant sous le radar, car Dropbox est capable de se fondre dans le trafic normal du réseau.

L’analyse de la porte dérobée indique qu’elle a été mise à jour et modifiée à plusieurs reprises au fil des ans afin de maintenir son efficacité tout en restant cachée.

« La principale activité malveillante est l’exfiltration de documents et autres fichiers sensibles. La sophistication des attaques et les détails techniques de la découverte renforcent encore l’idée que le groupe Turla dispose de ressources considérables pour exploiter un arsenal aussi vaste et diversifié », explique Matthieu Faou, chercheur sur les logiciels malveillants chez ESET.

Mots de passe uniques et authentification à deux facteurs

Cependant, malgré la nature persistante de l’attaque par ce qui est considéré comme une opération de piratage sophistiquée, il existe encore quelques mesures de sécurité relativement simples que les organisations peuvent appliquer pour éviter d’être victimes de cette forme de cyberattaque, ou de bien d’autres.

« Au cours de cette enquête, nous avons remarqué que les attaquants étaient capables de se déplacer latéralement et de compromettre des machines supplémentaires en réutilisant les mots de passe des administrateurs », raconte Matthieu Faou.

« Je crois que limiter les possibilités de mouvement latéral rendrait la vie des attaquants beaucoup plus difficile. Cela signifie empêcher les utilisateurs de se connecter en tant qu’administrateurs, utiliser une authentification à deux facteurs sur les comptes des administrateurs et utiliser des mots de passe uniques et complexes », ajoute-t-il.

Source : ZDNet.com

Leave a Reply