Turla utilise une faille connue de l’accès à Internet par satellite

La méthode n’est pas nouvelle. C’est même, de longue date, la spécialité du logiciel Skygrabber : celui-ci permet à une personne dotée d’un PC et d’une parabole d’intercepter les téléchargements demandés par des internautes connectés par satellite ; le flux descendant transmis depuis l’orbite géostationnaire vers l’ordinateur de l’internaute n’est pas chiffré ; il n’y a qu’à collecter les paquets de données et les réassembler.

C’est cette technique qu’emploient les pirates qui opèrent le logiciel espion Turla. Selon Kaspersky, ils peuvent ainsi cacher la localisation géographique de leurs centres de commande et de contrôle, ou à tout le moins leurs points de collecte de données exfiltrées.

L’éditeur russe explique dans le détail le mode opératoire : « le groupe écoute les flux descendants pour identifier les adresses IP d’abonnés à Internet via satellites actifs et en ligne ; il choisit alors l’une d’entre elles pour masquer le serveur de commande et de contrôle, à l’insu de l’internaute ; les machines infectées par Turla reçoivent l’instruction d’exfiltrer les données vers les adresses IP d’utilisateurs connectés par satellite. Ces données circulent via les lignes conventionnelles jusqu’aux téléports du fourniseur d’accès à Internet par satellite, puis vers le satellite, et enfin »… vers le sol, à destination des adresses IP détournées. Comme le relève Kaspersky, les utilisateurs de ces adresses reçoivent aussi les données exfiltrées, mais probablement sans même s’en rendre compte car ces données sont adressées à « des ports qui sont fermés par défaut ».

Les pirates, en revanche, prendront soin de laisser ces ports ouverts pour collecter les données. Mais ils n’ont pas besoin d’être abonnés : il leur suffit d’être en zone de réception du flux radio venu du satellite.

C’est début 2014 que G Data a présenté ses premières découvertes sur le logiciel espion Uroburos, décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Dans un document publié sur son blog, l’Allemand expliquait alors qu’il s’agissait d’un rootkit composé de deux éléments : un pilote et un système de fichiers virtuel chiffré, le premier servant à l’accès au second. Et G Data d’expliquer qu’Uroburos « est capable de prendre le contrôle d’une machine infectée, d’exécuter des commandes arbitraires et de cacher les activités système ». Surtout, son pilote aurait été conçu pour être très furtif et « difficile à identifier ».

Kaspersky a repris le flambeau en août de l’an passé, présentant plusieurs nouveaux éléments sur celui qu’il a choisi d’appeler, de son côté, Turla, à commencer par ses vecteurs d’infection. Ce logiciel espion touche principalement la Russi, le Kazakhstan, la Chine, le Vietnam et les Etats-Unis. Mais quelques infections ont été détectées en France.