Le groupe de cyberespionnage russe Turla, alias « Secret Blizzard », utilise l’infrastructure d’autres acteurs de la menace pour cibler les appareils militaires ukrainiens connectés via Starlink.
Microsoft et Lumen ont récemment révélé comment l’acteur étatique, lié au Service fédéral de sécurité russe (FSB), détourne et utilise des logiciels malveillants et des serveurs de l’acteur de menace pakistanais Storm-0156.
Microsoft a publié aujourd’hui un autre rapport axé sur des opérations distinctes de Turla entre mars et avril 2024, ciblant des appareils en Ukraine utilisés dans des opérations militaires.
Dans la dernière campagne, Turla a utilisé l’infrastructure du botnet Amadey et d’un autre groupe de piratage russe connu sous le nom de « Storm-1837 ». »Cette infrastructure a été utilisée pour déployer les familles de logiciels malveillants personnalisées de Turla, notamment Tavdig et KazuarV2, sur les systèmes ukrainiens.
Microsoft ne sait pas si Turla a détourné Amadey ou acheté l’accès au botnet, mais la campagne constitue un autre exemple de l’acteur menaçant particulier qui se cache derrière d’autres groupes de pirates informatiques.
« Microsoft évalue que Blizzard Secret a soit utilisé le logiciel malveillant Amadey en tant que service (MaaS), soit accédé subrepticement aux panneaux de commande et de contrôle Amadey (C2) pour télécharger un compte-gouttes PowerShell sur les appareils cibles », explique Microsoft.
« Le compte-gouttes PowerShell contenait une charge utile Amadey codée en Base64 ajoutée par du code qui invoquait une requête vers une infrastructure secrète Blizzard C2. »
Aperçu des attaques de Turla en Ukraine
Les attaques Turla en Ukraine commencent par des e-mails de phishing contenant des pièces jointes malveillantes, des portes dérobées Storm-1837 ou le botnet Amadey, utilisés pour le déploiement de charges utiles sur des appareils infectés.
Amadey est un botnet malveillant utilisé pour l’accès initial et la livraison de la charge utile depuis 2018. À un moment donné, il a été utilisé par les affiliés de LockBit comme précurseur des chiffrements déployés sur les réseaux.
Le malware polyvalent est principalement utilisé pour agir comme un malware abandonné, et dans le cas de Turla, il est utilisé pour déployer des outils de reconnaissance personnalisés sur des appareils compromis et pour télécharger des droppers PowerShell qui chargent le malware personnalisé du groupe de menaces, Tavdig (« rastls.dll »).
Microsoft explique que les pirates utilisent les informations de reconnaissance fournies par le fichier de commandes supprimé pour identifier des cibles hautement prioritaires telles que des appareils militaires connectés aux systèmes Internet Starlink.
« Microsoft a observé que Blizzard Secret téléchargeait son outil de reconnaissance ou d’enquête personnalisé », a expliqué Microsoft dans le rapport.
« Cet outil a été déployé de manière sélective sur des appareils présentant un intérêt supplémentaire par l’auteur de la menace—par exemple, des appareils sortant des adresses IP STARLINK, une signature commune des appareils militaires ukrainiens de première ligne. »
Vraisemblablement, les appareils Starlink ont été ciblés pour recueillir des renseignements sur les activités militaires de première ligne, conformément au rôle de Turla au FSB.
Le rapport de Microsoft relie également Turla à un autre acteur de la menace russe connu sous le nom de Storm-1837, qui, selon Redmond, s’est concentré dans le passé sur les appareils utilisés par les opérateurs de drones ukrainiens
Selon Microsoft, Turla a été vu en utilisant la porte dérobée Power-Shell de Storm-1837 nommée « Cookbox », que Storm-1837 a déployée en Ukraine en janvier 2024 en exploitant la faille WinRAR CVE-2023-38831.
Les familles de logiciels malveillants personnalisées de Turla ont ensuite été déployées sur ces systèmes, indiquant que Storm-1837 avait été soit détourné, soit travaillé avec Turla pour livrer leurs charges utiles.
Logiciels malveillants Tavdig et KazuarV2
Tavdig et KazuarV2 sont des composants clés de l’arsenal de logiciels malveillants de Turla, jouant des rôles distincts mais complémentaires dans leur dernière campagne d’espionnage.
Tavdig est une porte dérobée légère et modulaire conçue pour établir un point d’ancrage initial, effectuer une surveillance et déployer des charges utiles supplémentaires.
Il peut collecter des informations telles que les informations d’identification des utilisateurs, les configurations réseau et les logiciels installés, et il peut également effectuer des modifications du registre et créer des tâches planifiées pour la persistance.
L’un des outils que Tavdig charge sur les appareils compromis est KazuarV2, la porte dérobée furtive la plus avancée de Turla, conçue pour la collecte de renseignements à long terme, l’exécution de commandes et l’exfiltration de données.
KazuarV2 est généralement injecté dans des processus système légitimes tels que ‘ explorer.exe ‘ ou ‘ opéra.exe, ‘ pour échapper à la détection, puis envoie et reçoit des données et des commandes de son commandement et contrôle (C2).
Microsoft note que KazuarV2 est un malware modulaire, il peut donc être étendu avec des plugins supplémentaires selon les besoins, en s’adaptant à des besoins d’espionnage spécifiques.
Il est recommandé aux défenseurs de vérifier les atténuations proposées par Microsoft et les requêtes de chasse dans le rapport, qui couvrent cette opération particulière de Turla et les activités plus larges du groupe.