<link rel="stylesheet" id="dashicons-css" href="https://c0.wp.com/c/5.6/wp-includes/css/dashicons.min.css" type="text/css" media="all">
ActualitésSécurité

L’ancien code d’attaque est une nouvelle arme pour les pirates russes

Les chercheurs ont trouvé des points communs entre les outils utilisés contre Solaris il y a 20 ans et les attaques modernes déployées contre les ordinateurs Windows.

Les attaquants préfèrent réutiliser le code et les outils aussi longtemps qu’ils continuent de fonctionner. Dans cette tradition, les chercheurs ont trouvé des données probantes suggérant qu’un groupe de cyberespionnage utilise avec succès des outils et des infrastructures déployés pour la première fois dans les attaques il y a 20 ans.

Le Moonlight Maze se réfère à la vague d’attentats qui a ciblé les réseaux militaires et gouvernementaux des États-Unis, les universités et les établissements de recherche à la mi-fin des années 1990. Alors que le Moonlight Maze a disparu du radar après que l’enquête du FBI et du ministère de la Défense est devenue publique en 1999, il y avait des murmures dans la communauté de la sécurité que le groupe de cyberespionnage n’a jamais disparu complètement. Turla, un groupe d’attaque de langue russe qui s’appelle également Venomous Bear, Uroburos et Snake, a été lancé comme une possibilité, mais jusqu’à récemment, tous les liens étaient des conjectures et des spéculations.

Maintenant, les chercheurs de Kaspersky Lab et Kings College de Londres croient avoir trouvé les preuves techniques qui relient Turla et Moonlight Maze.

Après avoir analysé Penguin Turla (l’outil à la dévidoque basé sur Linux utilisé par Turla) et la porte arrière à base d’outils d’extraction de données open source utilisées dans les attaques Moonlight Maze, les chercheurs ont conclu qu’ils étaient tous deux établis sur le programme open source LOKI2 sorti dans le magazine Phrack dans 1996. The Moonlight Maze backdoor n’a pas été déployé dans des attaques modernes, mais le fait que Penguin Turla utilise le même code était significatif, a déclaré Juan Andres Guerrero-Saade, le chercheur de Kaspersky Lab.

« C’est un outil intéressant, et il était évidemment un favori des attaquants Moonlight Maze », a déclaré Guerrero-Saade, notant que des 43 binaires Moonlight Maze étudiés par les chercheurs, neuf étaient des exemples de la porte dérobée basée sur LOKI2.

À la surface, il n’y a pas beaucoup de points communs entre Moonlight Maze et Turla. Moonlight Maze a ciblé les systèmes Sun Solaris et utilisé les machines infectées pour chercher plus de victimes sur le même réseau. Un composant renifleur a rassemblé toute l’activité sur les machines victime, créant des journaux presque complets de tout ce que les attaquants ont fait. « Les attaquants ont créé leur propre empreinte numérique à perpétuité », ont écrit les chercheurs de Kaspersky Lab dans une publication sur le blog.

En revanche, Turla cible les machines Windows et possède plusieurs fonctionnalités habituelles, notamment le fait qu’il détourne des liens satellitaires non chiffrés pour échapper de manière silencieuse aux données volées aux réseaux victimes. Cependant, Penguin Turla est généralement utilisé dans les attaques de la deuxième-onde en utilisant des serveurs basés sur * nix pour exfiltrer les données des réseaux compromis.

Les opérations de cyberespionnage et les attaques sophistiquées ne concernent pas toujours le dernier code. Le groupe d’attaque a recyclé et réutilisé le code dans son arsenal, en ajoutant de nouvelles fonctionnalités à mesure que ses opérations ont évolué. Les chercheurs ont pu retracer le code de la porte dérobée sur LOKI2, compilé pour les versions Linux 2.2.0 et 2.2.5 publiées en 1999, ainsi que sur les binaires liés libpcap et OpenSSL du début des années 2000. Le code est toujours utilisé, car Kaspersky Lab a vu de nouveaux échantillons Penguin Turla visant une cible en Allemagne le mois dernier.

Guerrero-Saade a déclaré qu’il était « terrifiant » qu’un outil de piratage de 20 ans puisse encore être pertinent et réussir à des attaques contre des systèmes d’exploitation et des réseaux modernes. Les attaquants Moonlight Maze n’ont pas eu à tirer parti des astuces sophistiquées pour contourner les sociétés antivirus ou les défenses de sécurité. Et il est inquiétant de constater que cet ancien code évolue vers Penguin Turla, qui relie les anciennes bibliothèques et travaille toujours contre les machines modernes.

La preuve de lier les deux groupes d’attaque provient d’un serveur qui a été compromis lors des attaques du Moonlight Maze. Une fois le compromis détecté, les enquêteurs ont commencé à enregistrer tout ce qui se passait sur le serveur, que les attaquants utilisaient comme serveur de relais. Les chercheurs ont obtenu une visibilité complète sur les attaques sur une période de six mois en 1998 et 1999, y compris les journaux d’attaque et les outils d’attaque. Un administrateur système s’est accroché aux images forensics toutes ces années et a partagé l’information avec les chercheurs.

« Nous avons découvert une capsule de temps », a déclaré Guerro-Saade.

Bien que la preuve reliant le Louve Moonlight et les récentes campagnes Turla soit solide, les chercheurs ont cessé de dire que les assaillants sont le même groupe. Kaspersky Lab ne s’engage pas dans l’attribution, mais il y a des implications intriguantes. Le FBI avait envoyé des enquêteurs à Moscou dans les années 1990 dans le cadre de son enquête et les enquêteurs sont revenus convaincus que Moonlight Maze était le travail des acteurs étatiques russes, a déclaré Thomas Rid, le chercheur du Kings College qui a travaillé avec Kaspersky Lab.

« Les chercheurs prévoient de continuer à creuser pour trouver plus de preuves techniques reliant Moonlight Maze et Turla », ont-ils dit.

 

Afficher plus
Bouton retour en haut de la page
Fermer