Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Retour sur l’histoire de Turla, un groupe de hackers d’élite russe

Actif depuis au moins deux décennies, le groupe de hackers Turla mène ses attaques depuis la Russie. Les experts lui prêtent même une affiliation au service de renseignement russe, le FSB. Le groupe est connu pour ses attaques menées contre le Pentagone, le Bundestag ou encore le gouvernement afghan.

Turla est un groupe de hackers à l’origine de plusieurs attaques ciblant des entités gouvernementales et les agences de renseignement de nombreux pays occidentaux. Il est classé parmi les menaces persistantes avancées (APT) qui servent l’intérêt d’un Etat, à l’instar de Lazarus Group. Les experts en cybersécurité louent le niveau de sophistication de leurs attaques. Le groupe est connu pour son penchant à la dissimulation et au contrôle dormant et sa « furtivité innovante » d’après MITRE, expliquant sans doute sa longévité. Des sources révèlent qu’il est actif depuis au moins 2004. D’autres lui prêtent pourtant des activités remontant au milieu des années 90.

Retour sur l’histoire de Turla, un groupe de hackers d’élite russe
Contenu mis à jour le

Turla : un groupe de piratage affilié au FSB

Quel est le point commun entre APT 41, APT 38 et APT 42 ? Les trois sont identifiés comme des groupes de hackers affiliés à des États, le premier à la Chine, le second à la Corée du Nord et le dernier à l’Iran.

En matière de cyberespionnage et de sabotage, la Russie n’est pas en reste. Plusieurs groupes de hackers russophones sévissent depuis plusieurs années et servent l’intérêt de la Russie. Les plus célèbres d’entre eux sont APT28 (Fancy Bear) et Sandworm, soupçonnés de tentatives d’ingérence dans les processus électoraux en Occident.

Un autre groupe se distingue de ses compatriotes par ses méthodes sophistiquées, à savoir Turla. Le groupe de hackers d’élite russes est réputé pour être un adversaire insaisissable présentant un haut niveau d’expertise technique. Expert dans l’intrusion informatique, Turla a infiltré les réseaux de plusieurs pays occidentaux depuis des années.

Une enquête menée par le ministère de la Justice américain et le FBI confirme que Turla agit bien pour le compte de Centre 16, une unité du FSB (agence de renseignement russe) basée à Moscou.

Le groupe serait impliqué dans plusieurs attaques visant au moins 45 pays. Il s’en est pris au Bundestag en Allemagne en 2014. Un an plus tard, il attaque la chaîne TV5 Monde en France. D’autres cibles se trouvent également au Moyen-Orient. Les hackers ont piraté le gouvernement afghan avant le retrait des troupes américains via une porte dérobée.

Grâce à ses méthodes sophistiquées, Turla passe inaperçu dans les systèmes de ces cibles diplomatiques et gouvernementales.

L’incroyable longévité de Turla

Au cours d’une déclaration à la presse, le FBI affirme que Turla sévit depuis plus de vingt ans en analysant son malware Snake. Les experts en cybersécurité remontent pourtant à, au moins, 25 ans. Ces derniers lui attribuent une opération de cyberespionnage, appelée Moonlight Maze, ciblant les États-Unis.

En 2023, le FBI déclare avoir démantelé une opération de Turla. Sachant son historique, les experts prévoient leur retour dans quelques mois ou années. Pour cause, le groupe utilise des outils sophistiqués et furtifs. Il a l’habitude de tapisser dans l’ombre pendant des années avant de réapparaître au cœur du système d’une agence gouvernementale ou d’une entreprise.

Une ingéniosité technique incomparable

Au-delà de sa longévité, Turla se démarque par son ingéniosité technique. Le groupe a perfectionné les attaques via des vers USB sophistiqués avant de se tourner vers le piratage par satellite. Il est aussi habile dans le détournement des attaques d’autres groupes rivaux. En effet, Turla a volé deux outils (Neuron et Nautilus) qui appartiennent initialement à Oilrig (APT 34), un autre groupe de hackers iranien. En 2019, ces malwares visaient des serveurs de messagerie et plateformes sous Windows. Les attaques étaient imputées à Oilrig avant que les enquêteurs découvrent l’association des malwares à Snake, le rootkit de Turla.

Turla se distingue aussi par ses capacités d’innovation. Le groupe reste un pionnier dans l’utilisation de techniques d’attaques intelligentes.

Les attaques marquantes menées par Turla

 

Turla s’appuie sur diverses méthodes pour attaquer ses cibles : spear phishing, attaque de points d’eau, etc. Le groupe exploite également les vulnérabilités des plateformes comme Dropbox et Google Drive.

Les hackers se spécialisent également dans l’utilisation des malwares de « deuxième étape ». Ils ne s’activent qu’après la première infection et permettent d’installer une porte dérobée. Les hackers accèdent ensuite à toutes les données de l’organisation et peuvent se déplacer impunément dans le système.

Les analyses de Mitre Attack ont identifié les malwares les plus sophistiqués utilisés par le groupe, comme :

  • Kazuar : déployé pour la première fois en 2017, cette porte dérobée permet à son opérateur d’accéder aux systèmes compromis discrètement. L’opérateur pouvait également ajouter des plugins à distance pour améliorer l’efficacité de la porte dérobée. Kazuar a été repéré par le CERT ukrainien en 2023 dans le cadre d’une opération de cyberespionnage de Turla.
  • Snake est sans doute le plus ancien et le plus célèbre des outils de Turla. Il se distingue par sa complexité d’après la CISA. Il permet à l’opérateur d’exfiltrer des données dans un système compromis sur le long temps. Lancé en 2003, il a été actif pendant plus de 20 ans et a déjà infecté des appareils dans plus de 50 pays. En 2023, le FBI a lancé l’opération MEDUSA pour perturber les activités de ce malware. Grâce à Perseus, un outil qu’il a développé, les appareils sont débarrassés définitivement de Snake.
  • Carbon est un framework formé de plusieurs composants : un fichier de configuration, un installateur, un module de communication P2P et un orchestrateur. L’acteur malveillant peut ainsi envoyer des instructions à distance à toutes les machines infectées par le malware.

Parmi les opérations d’envergures menées par Turla, les plus marquantes sont :

  • Moonlight Maze : une vaste opération de cyberespionnage du gouvernement américain qui a commencé en 1996. Le groupe avait infecté les ordinateurs de l’armée de l’air, de la NASA ou encore de l’agence de protection de l’environnement. En 2016, Rid et Guerrero-Saade, des chercheurs en cybersécurité, ont démontré le lien entre cette opération et Turla.
  • Piratage des communications satellites en 2015 grâce à des attaques de type « point d’eau ». Cela consiste à infecter les appareils des utilisateurs par l’intermédiaire des sites web qu’ils visitent. Les chercheurs de Kaspersky ont révélé des vols de données via les connexions internet par satellite des victimes.
  • Agent.btz : Turla a réussi à introduire un malware dans le réseau du département de la Défense américain. Il s’agissait pourtant d’un réseau isolé. Le malware a pu infecter l’appareil à partir d’une clé USB branchée par un employé. Cette faille a donné naissance à l’US Cyber Command.
Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49