{"id":548234,"date":"2023-01-08T05:46:27","date_gmt":"2023-01-08T07:46:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-hackers-russes-de-turla-detournent-une-infrastructure-de-logiciels-malveillants-vieille-de-dix-ans-pour-deployer-de-nouvelles-portes-derobees\/"},"modified":"2023-01-08T05:46:28","modified_gmt":"2023-01-08T07:46:28","slug":"les-hackers-russes-de-turla-detournent-une-infrastructure-de-logiciels-malveillants-vieille-de-dix-ans-pour-deployer-de-nouvelles-portes-derobees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-hackers-russes-de-turla-detournent-une-infrastructure-de-logiciels-malveillants-vieille-de-dix-ans-pour-deployer-de-nouvelles-portes-derobees\/","title":{"rendered":"Les hackers russes de Turla d\u00e9tournent une infrastructure de logiciels malveillants vieille de dix ans pour d\u00e9ployer de nouvelles portes d\u00e9rob\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">08 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberespionnage \/ Analyse des menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le groupe de cyberespionnage russe connu sous le nom de <b>Tourla<\/b> a \u00e9t\u00e9 observ\u00e9 en train de se greffer sur l&#8217;infrastructure d&#8217;attaque utilis\u00e9e par un logiciel malveillant vieux de dix ans pour fournir ses propres outils de reconnaissance et de porte d\u00e9rob\u00e9e \u00e0 des cibles en Ukraine.<\/p>\n<p>Mandiant, propri\u00e9t\u00e9 de Google, qui suit l&#8217;op\u00e9ration sous le nom de cluster non cat\u00e9goris\u00e9 <strong>UNC4210<\/strong>a d\u00e9clar\u00e9 que les serveurs pirat\u00e9s correspondent \u00e0 une variante d&#8217;un malware de base appel\u00e9 ANDROMEDA (alias Gamarue) qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal en 2013.<\/p>\n<p>&#8220;UNC4210 a r\u00e9enregistr\u00e9 au moins trois domaines de commande et de contr\u00f4le (C2) ANDROMEDA expir\u00e9s et a commenc\u00e9 \u00e0 profiler les victimes pour d\u00e9ployer s\u00e9lectivement KOPILUWAK et QUIETCANARY en septembre 2022&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Mandiant. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/turla-galaxy-opportunity\" target=\"_blank\">m&#8217;a dit<\/a> dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>Turla, \u00e9galement connue sous les noms de Iron Hunter, Krypton, Uroburos, Venomous Bear et Waterbug, est une \u00e9quipe d&#8217;\u00c9tat-nation d&#8217;\u00e9lite qui cible principalement les organisations gouvernementales, diplomatiques et militaires \u00e0 l&#8217;aide d&#8217;un large \u00e9ventail de logiciels malveillants personnalis\u00e9s.<\/p>\n<p>Depuis le d\u00e9but de l&#8217;invasion militaire russe de l&#8217;Ukraine en f\u00e9vrier 2022, le collectif contradictoire a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d&#8217;efforts de phishing et de reconnaissance des informations d&#8217;identification visant des entit\u00e9s situ\u00e9es dans le pays.<\/p>\n<p>En juillet 2022, le groupe d&#8217;analyse des menaces (TAG) de Google a r\u00e9v\u00e9l\u00e9 que Turla avait cr\u00e9\u00e9 une application Android malveillante pour soi-disant &#8220;aider&#8221; les hacktivistes pro-ukrainiens \u00e0 lancer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS) contre des sites russes.<\/p>\n<p>La derni\u00e8re d\u00e9couverte de Mandiant montre que Turla a coopt\u00e9 furtivement d&#8217;anciennes infections comme m\u00e9canisme de distribution de logiciels malveillants, sans parler du fait qu&#8217;ANDROMEDA se propage via des cl\u00e9s USB infect\u00e9es.<\/p>\n<p>&#8220;Les logiciels malveillants de propagation USB continuent d&#8217;\u00eatre un vecteur utile pour obtenir un acc\u00e8s initial aux organisations&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de renseignement sur les menaces.<\/p>\n<p>Dans l&#8217;incident analys\u00e9 par Mandiant, une cl\u00e9 USB infect\u00e9e aurait \u00e9t\u00e9 ins\u00e9r\u00e9e dans une organisation ukrainienne anonyme en d\u00e9cembre 2021, conduisant finalement au d\u00e9ploiement d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/9535a9bb1ae8f620d7cbd7d9f5c20336b0fd2c78d1a7d892d76e4652dd8b2be7\/details\" target=\"_blank\">h\u00e9ritage ANDROMEDA artefact<\/a> sur l&#8217;h\u00f4te lors du lancement d&#8217;un fichier de lien malveillant (.LNK) se faisant passer pour un dossier dans la cl\u00e9 USB.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673163987_744_Les-hackers-russes-de-Turla-detournent-une-infrastructure-de-logiciels.png\" alt=\"\" border=\"0\" data-original-height=\"290\" data-original-width=\"728\"\/><\/div>\n<p>L&#8217;acteur mena\u00e7ant a ensuite r\u00e9affect\u00e9 l&#8217;un des domaines inactifs qui faisaient partie de la d\u00e9funte infrastructure C2 d&#8217;ANDROMEDA &#8211; qu&#8217;il a r\u00e9enregistr\u00e9 en janvier 2022 &#8211; pour profiler la victime en fournissant la premi\u00e8re \u00e9tape <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/kopiluwak-a-new-javascript-payload-from-turla\/77429\/\" target=\"_blank\">KOPI LUWAK<\/a> dropper, un utilitaire de reconnaissance de r\u00e9seau bas\u00e9 sur JavaScript.<\/p>\n<p>Deux jours plus tard, le 8 septembre 2022, l&#8217;attaque est pass\u00e9e \u00e0 la phase finale avec l&#8217;ex\u00e9cution d&#8217;un implant bas\u00e9 sur .NET baptis\u00e9 QUIETCANARY (alias <a rel=\"nofollow noopener\" href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2019_the-garden-of-forking-paths-sophisticated-apts-diversify-toolsets\" target=\"_blank\">Tunnus<\/a>), entra\u00eenant l&#8217;exfiltration des fichiers cr\u00e9\u00e9s apr\u00e8s le 1er\u00a0janvier\u00a02021.<\/p>\n<p>L&#8217;artisanat employ\u00e9 par Turla concorde avec les rapports ant\u00e9rieurs sur les vastes efforts de profilage des victimes du groupe co\u00efncidant avec la guerre russo-ukrainienne, l&#8217;aidant potentiellement \u00e0 adapter ses efforts d&#8217;exploitation de suivi pour r\u00e9colter les informations d&#8217;int\u00e9r\u00eat pour la Russie.<\/p>\n<p>C&#8217;est \u00e9galement l&#8217;un des rares cas o\u00f9 une unit\u00e9 de piratage a \u00e9t\u00e9 identifi\u00e9e ciblant les victimes d&#8217;une campagne de logiciels malveillants diff\u00e9rente pour atteindre ses propres objectifs strat\u00e9giques, tout en obscurcissant son r\u00f4le.<\/p>\n<p>&#8220;Alors que les anciens logiciels malveillants ANDROMEDA continuent de se propager \u00e0 partir de p\u00e9riph\u00e9riques USB compromis, ces domaines r\u00e9enregistr\u00e9s pr\u00e9sentent un risque car de nouveaux acteurs de la menace peuvent prendre le contr\u00f4le et fournir de nouveaux logiciels malveillants aux victimes&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Cette nouvelle technique de revendication de domaines expir\u00e9s utilis\u00e9e par des logiciels malveillants largement distribu\u00e9s et \u00e0 motivation financi\u00e8re peut permettre des compromissions ult\u00e9rieures dans un large \u00e9ventail d&#8217;entit\u00e9s. De plus, les logiciels malveillants et les infrastructures plus anciens peuvent \u00eatre plus susceptibles d&#8217;\u00eatre n\u00e9glig\u00e9s par les d\u00e9fenseurs qui trient une grande vari\u00e9t\u00e9 d&#8217;alertes .&#8221;<\/p>\n<h3>COLDRIVER cible les laboratoires de recherche nucl\u00e9aire am\u00e9ricains<\/h3>\n<p>Les r\u00e9sultats viennent \u00e9galement comme Reuters <a rel=\"nofollow noopener\" href=\"https:\/\/www.reuters.com\/world\/europe\/russian-hackers-targeted-us-nuclear-scientists-2023-01-06\/\" target=\"_blank\">signal\u00e9<\/a> qu&#8217;un autre groupe mena\u00e7ant parrain\u00e9 par l&#8217;\u00c9tat russe nomm\u00e9 COLDRIVER (alias Callisto ou SEABORGIUM) a cibl\u00e9 trois laboratoires de recherche nucl\u00e9aire aux \u00c9tats-Unis au d\u00e9but de 2022.<\/p>\n<p>\u00c0 cette fin, les agressions num\u00e9riques impliquaient la cr\u00e9ation de fausses pages de connexion pour les laboratoires nationaux de Brookhaven, Argonne et Lawrence Livermore dans le but d&#8217;inciter les scientifiques nucl\u00e9aires \u00e0 r\u00e9v\u00e9ler leurs mots de passe.<\/p>\n<p>La tactique est coh\u00e9rente avec l&#8217;activit\u00e9 connue de COLDRIVER, qui a r\u00e9cemment \u00e9t\u00e9 d\u00e9masqu\u00e9e en usurpant les pages de connexion des soci\u00e9t\u00e9s de conseil en mati\u00e8re de d\u00e9fense et de renseignement ainsi que des ONG, des groupes de r\u00e9flexion et des entit\u00e9s d&#8217;enseignement sup\u00e9rieur au Royaume-Uni et aux \u00c9tats-Unis.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/russian-turla-hackers-hijack-decade-old.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80208 janvier 2023\ue804Ravie LakshmananCyberespionnage \/ Analyse des menaces Le groupe de cyberespionnage russe connu sous le nom de Tourla a \u00e9t\u00e9 observ\u00e9 en train de se greffer sur l&#8217;infrastructure d&#8217;attaque utilis\u00e9e par un logiciel malveillant vieux de dix ans pour fournir ses propres outils de reconnaissance et de porte d\u00e9rob\u00e9e \u00e0 des cibles en Ukraine. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":548235,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[277,4168,4158,4165,4161,9886,82224,116882,580,6578,4055,4157,4159,4171,4170,65,4167,4589,4590,4160,120,4163,4162,1384,185,248,4172,4169,42916,196,16230,4166,4164],"class_list":["post-548234","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ans","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-derobees","tag-detournent","tag-dix","tag-hackers","tag-infrastructure","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-portes","tag-pour","tag-russes","tag-securite-informatique","tag-securite-internet","tag-turla","tag-une","tag-vieille","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/548234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=548234"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/548234\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/548235"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=548234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=548234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=548234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}