Une unité de cyber-attaque russe “déguisée” en pirates Iraniens

[ To read this post in English click here

 

 

“Nous n’avons jamais vu un tel niveau de sophistication. Il est unique par sa complexité, son échelle et sa sophistication. C’est en train de devenir un espace très fréquenté et nous voyons les gens innover assez rapidement dans ce domaine.”

 

21 octobre 2019 (Paris, France) – –  Une unité russe de cyberespionnage a piraté des pirates Iraniens pour mener des attaques dans plus de 35 pays, a révélé une enquête conjointe du Royaume-Uni et des États-Unis.

Le soi-disant groupe Turla, qui est lié aux services de renseignement russes, aurait détourné les outils d’Oilrig, un groupe largement lié au gouvernement iranien, selon une enquête de deux ans menée par le National Cyber Security Centre du Royaume-Uni en collaboration avec la National Security Agency des États-Unis. Le NCSC fait partie du GCHQ, l’agence de renseignement numérique.

Les responsables de la sécurité impliqués dans cette enquête ont déclaré que le groupe iranien ignore très probablement que ses méthodes de piratage ont été piratées et déployées par une autre équipe de cyberespionnage. Les victimes comprennent des établissements militaires, des ministères, des organisations scientifiques et des universités du monde entier, principalement au Moyen-Orient.

Paul Chichester, directeur des opérations du NCSC, a déclaré que l’activité de Turla représentait “un réel changement dans le modus operandi des cyberacteurs”, ce qui, selon lui, “ajoutait au sentiment de confusion” sur quels cybergroupes étatiques étaient responsables des attaques réussies :

La raison pour laquelle nous rendons publique cette affaire, c’est à cause des différentes techniques que nous voyons Turla utiliser. Nous voulons que les autres puissent comprendre cette activité.

Chichester a décrit comment Turla s’est “infiltré” dans les attaques d’Oilrig en surveillant de près un pirate iranien afin d’utiliser la même porte dérobée vers une organisation ou pour avoir accès aux renseignements obtenus. Turla est aussi connu sous le nom de Waterbug ou Venomous Bear.

Mais le groupe russe a ensuite lancé ses propres attaques à l’aide de l’infrastructure et des logiciels de contrôle d’Oilrig. Des organisations d’une vingtaine de pays ont ainsi été piratées avec succès :

Turla pourrait bénéficier des opérations d’Oilrig. Ils pourraient recueillir une partie de leur production opérationnelle. Cela leur a permis d’accéder plus rapidement aux victimes qu’ils ne l’auraient fait autrement. Cela leur a rendu la vie beaucoup plus facile. C’est une opération opportuniste qui a donné à [Turla] une mine d’informations et un accès qu’ils n’auraient pas eu autrement.

Le gouvernement russe a toujours nié être derrière les tentatives de piratage sur d’autres États. Le président Vladimir Poutine, dans un entretien avec le FT au début de cette année, a qualifié de “mythiques” les allégations selon lesquelles Moscou aurait orchestré des tentatives d’influence des élections américaines de 2016.

Les groupes de cyberespionnage dissimulent de plus en plus leur identité sous des opérations dites de “faux pavillon” – dans lesquelles ils tentent d’imiter les activités d’un autre groupe. L’année dernière, les services de renseignements américains auraient découvert que des pirates russes avaient tenté de perturber les Jeux olympiques d’hiver de Pyeongchang, en Corée du Sud, en utilisant des lignes de code associées au groupe Lazarus, attribuées à la Corée du Nord.

Mais le NCSC affirme que les activités de Turla vont bien au-delà de l’imitation, et qu’Oilrig lui-même – également connu sous les noms de Crambus et APT34 – a été piraté. Chichester dit à ce propos :

Nous n’avons jamais vu un tel niveau de sophistication. Il est unique par sa complexité, son échelle et sa sophistication. C’est vraiment difficile de se faire passer pour une autre entité. C’est en train de devenir un espace très fréquenté et nous voyons les gens innover assez rapidement dans ce domaine.

Leave a Reply

Your email address will not be published. Required fields are marked *

scroll to top