Le célèbre groupe de cyberespionnage russe Turla pirate d’autres pirates informatiques, détournant l’infrastructure de l’acteur de la menace pakistanais Storm-0156 pour lancer ses propres attaques secrètes sur des réseaux déjà compromis.
En utilisant cette tactique, Turla (alias « Blizzard secret ») a accédé aux réseaux que Storm-0156 avait précédemment violés, comme dans les organisations gouvernementales afghanes et indiennes, et a déployé leurs outils malveillants.
Selon un rapport des laboratoires Black Lotus de Lumen, qui ont suivi cette campagne depuis janvier 2023 avec l’aide de l’équipe de renseignement sur les menaces de Microsoft, l’opération Turla est en cours depuis décembre 2022.
Turla (alias Secret Blizzard) est un groupe de piratage parrainé par l’État russe lié au Centre 16 du Service fédéral de sécurité russe (FSB), l’unité responsable de l’interception, du décodage et de la collecte de données provenant de cibles étrangères.
Les acteurs de la menace ont une longue histoire de campagnes secrètes de cyberespionnage ciblant les gouvernements, les organisations et les installations de recherche du monde entier depuis au moins 1996.
Ils sont les suspects derrière les cyberattaques visant le Commandement central américain, le Pentagone et la NASA, plusieurs ministères des Affaires étrangères d’Europe de l’Est, ainsi que le ministère finlandais des Affaires étrangères.
Plus récemment, les Five Eyes ont perturbé le botnet de logiciels malveillants de cyberespionnage » Serpent » de Turla, utilisé pour compromettre les appareils, voler des données et se cacher sur les réseaux piratés.
Violation de Storm-0156 pour vol de données furtif
Lumen surveillait les campagnes de Storm-0156 depuis des années alors que l’acteur menaçant concentrait ses attaques sur l’Inde et l’Afghanistan.
Au cours de cette surveillance, les chercheurs ont trouvé un serveur de commande et de contrôle (C2) qui affichait une bannière « hak5 Cloud C2 ». Ce C2 indiquait que les acteurs de la menace étaient en quelque sorte capables d’installer un implant physique, comme un ananas Wi-Fi, sur un réseau gouvernemental indien.
Tout en surveillant d’autres campagnes, Lumen a découvert Turla dans le réseau de Storm-0156 en observant un comportement étrange du réseau, comme C2 interagissant avec trois adresses IP VPS connues pour être liées aux pirates russes.
Il a été déterminé qu’à la fin de 2022, Turla avait violé plusieurs nœuds C2 de l’acteur de la menace Storm-0156 et déployé ses propres charges utiles de logiciels malveillants, y compris une variante de porte dérobée TinyTurla, la porte dérobée TwoDash, le moniteur de presse-papiers Statuezy et le téléchargeur MiniPocket.
Outre les familles de logiciels malveillants associées à Turla, Lumen a également noté des schémas de balisage et des transferts de données qui ne correspondaient pas aux tactiques précédentes de l’acteur pakistanais de la menace.
Microsoft affirme que cet accès a été principalement utilisé pour déployer des portes dérobées sur des entités gouvernementales afghanes, notamment le ministère des Affaires étrangères, la Direction générale du Renseignement (GDI) et les consulats étrangers du gouvernement afghan.
Turla ne s’est pas arrêté aux serveurs de commandement et de contrôle de Storm-0156 et à leurs cibles déjà compromises, mais a fait un pas de plus en ciblant les acteurs de la menace pakistanais eux-mêmes.
À la mi-2023, les acteurs de la menace russes s’étaient déplacés latéralement dans les propres postes de travail de Storm-0156, accédant à des données précieuses telles que des outils malveillants et des informations d’identification et des données volées. Les outils malveillants incluent le logiciel malveillant CrimsonRAT de Storm-0156 et un cheval de Troie d’accès à distance basé sur Go nommé Wainscot.
Lumen commente que cela est particulièrement facile à réaliser dans les environnements d’acteurs de la menace, car les groupes d’États-nations ne peuvent pas se protéger à l’aide d’outils de sécurité de pointe.
« Nous pensons que les terminaux et les logiciels malveillants des États-nations et des cybercriminels sont particulièrement vulnérables à l’exploitation car ils sont incapables d’utiliser des piles de sécurité modernes pour surveiller l’accès et se protéger contre l’exploitation », explique Lumen.
« Lorsque les auteurs de menaces ont installé des produits de sécurité, cela a entraîné la divulgation de leurs exploits et outils jusque-là inconnus. »
Microsoft rapporte que Turla n’a utilisé une porte dérobée Storm-0156 qu’une seule fois pour déployer des logiciels malveillants sur un seul ordinateur de bureau en Inde. Au lieu de cela, les acteurs de la menace ont déployé des portes dérobées sur les serveurs de Storm-0156 utilisés pour héberger des données volées par les acteurs de la menace pakistanais auprès d’institutions militaires et de défense indiennes.
Microsoft estime que cette approche plus prudente pourrait être liée à des considérations politiques.
Lumen a déclaré à Breachtrace qu’ils acheminaient désormais null tout le trafic de l’infrastructure de commande et de contrôle connue sur le réseau Lumen.
Turla – le hacker des hackers
L’approche de Turla pour exploiter l’infrastructure d’autres acteurs leur permet de recueillir des renseignements furtivement sans s’exposer eux-mêmes ou leurs outils, en rejetant le blâme et en compliquant les efforts d’attribution.
Les pirates informatiques russes sont connus pour avoir utilisé cette stratégie depuis 2019, lorsqu’ils ont exploité l’infrastructure et les logiciels malveillants du groupe de menaces soutenu par l’État iranien « OilRig », pour lancer des attaques contre plusieurs pays.
Dans le même temps, Turla a volé des données des systèmes d’OilRig, y compris des journaux de keylogger, des listes de répertoires, des fichiers, des informations d’identification de compte et des générateurs de logiciels malveillants pour des outils privés tels que Neuron.
En 2022, Mandiant a rapporté que Turla avait déployé des portes dérobées vers des victimes de logiciels malveillants « Andromeda » en Ukraine, après avoir réenregistré trois domaines de commandement et de contrôle appartenant à cette opération.
Un rapport de Kaspersky de 2023 a donné un autre exemple de Turla utilisant une porte dérobée volée à » Storm-0473 « (alias « Tomiris ») dans des attaques.