Il y a quelques mois, le groupe de cybercriminels Turla utilisait le compte Instagram de Britney Spears pour mener des campagnes de cyberespionnage. ESET® est le premier éditeur à identifier et documenter leur nouvelle backdoor, nommée Gazer, visant principalement des institutions européennes. ESET publie un document complet d’analyse.
Qui est le groupe Turla
Groupe de cybercriminels menant des campagnes d’espionnage depuis plusieurs années, il cible principalement les gouvernements européens et les ambassades. Turla est connu pour mener des attaques dites de « point d’eau » (surveiller les habitudes de navigation de la victime) et des campagnes de spearphishing (e-mails infectés ciblés).
Les chercheurs d’ESET ont découvert la backdoor Gazer sur nombre d’ordinateurs à travers le monde, mais principalement en Europe. « Les techniques employées sont similaires aux précédentes campagnes menées par le groupe : une première porte dérobée s’installe par spearphishing, puis une seconde backdoor est envoyée sur le poste compromis. Il s’agit ici de Gazer », explique Jean-Ian Boutin, senior Malware Researcher chez ESET.
Détecter l’indétectable
Comme d’autres backdoors « second stage » avant elle (telles que Carbon et Kazuar), Gazer reçoit ses tâches au format chiffré à partir d’un serveur C&C. Ce dernier peut être une machine déjà infectée ou n’importe quelle autre machine en réseau. Le Groupe Turla utilise ses propres moyens de chiffrement reposant sur 3DES et RSA. L’analyse des clés RSA montre qu’elles contiennent la clé publique du serveur contrôlée par l’attaquant et une clé privée. Pour chaque échantillon analysé, ESET a découvert que les clés utilisées sont uniques et que tous les échanges avec le C&C sont chiffrés.
Pour échapper à la détection et assurer sa persistance, les chercheurs ESET ont découvert que la menace utilisait un système de fichier virtuel dans le registre Windows. « Turla va très loin pour éviter d’être repéré. Le groupe supprime tout d’abord ses fichiers des systèmes compromis, puis change les chaînes et les indicateurs de compromission pour chaque version de leur backdoor. On note un certain sens de l’humour des cybercriminels qui utilisent des références à des jeux vidéo dans leur code. », poursuit Jean-Ian Boutin.
Pour plus de détails concernant la nouvelle backdoor employée par Turla, consultez WeLiveSecurity ou notre livre blanc. Nous restons à votre disposition pour plus de renseignements.