orpheus26 - stock.adobe.com

Allemagne : les cyber-espions cachaient des commandes dans des e-mails

Les pirates infiltrés sur le système d'information ultra-sécurisé du gouvernement allemand utilisait la messagerie électronique comme intermédiaire de communication avec leur infrastructure de commande de contrôle.

Comment des pirates ont-ils réussi à rester longuement tapis dans le système d’information ultra-sécurisé du gouvernement allemand, à l’insu de tous, jusqu’au mois de décembre dernier ? Nos confrères du Süddeutsche Zeitung avancent un élément de réponse à cette remarquable discrétion.

Selon eux, les attaquants ont utilisé des e-mails pour les échanges avec leurs serveurs de commande et de contrôle : les messages adressés à des machines compromises « contenaient une pièce jointe. De telles pièces jointes sont téléchargées par Outlook sans que l’utilisateur n’ait à interagir avec elles. Dans ces documents – dont le type n’est pas clairement précisé – étaient cachées des informations cachées », comme des commandes.

C’est pratique qui constituerait conduirait, aujourd’hui, à trahir les activités du groupe Turla, plutôt que celles de Fancy Bear, aussi connue comme APT28 ou Sofacy, comme cela pu être indiqué initialement. Mais là encore, il pourrait y avoir confusion.

Soupçonné d’être lié aux services du renseignement russe, le groupe Turla serait à l’origine d’une opération de cyber-espionnage contre le groupe RUAG, dès 2014. C’est à cette période que G Data a présenté ses premières découvertes sur le groupe et sous outils, à commencer par le logiciel Uroburos, alors décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Kaspersky avait par la suite livré des détails complémentaires.

Jusqu’ici, très peu d’informations publiques sur les outils de Turla faisaient état de communications avec les serveurs de commande et de contrôle passant par la messagerie électronique. Et celles-ci n’impliquaient pas le logiciel client, mais le service smtp d’un serveur compromis, utilisé comme relais de communication avec les hôtes compromis du réseau. Peut-être les interlocuteurs de nos confrères ont-ils laissé place à une certaine confusion.

C’est au mois de décembre dernier que la présence des intrus a été détectée. Ils sont soupçonnés de s’être infiltrés plus d’un an plus tôt. La littérature publique sur Turla ne manque pas de souligner sa patience. Dix-sept postes de travail ont été infectés au ministère des Affaires étrangères. Le ministère allemand de l’Intérieur n’a pas répondu aux demandes de précisions de nos confrères.

Pour approfondir sur Cyberdéfense

Close