Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux infecté par une variante de Turla
Un malware sophistiqué utilisé depuis des années pour espionner 45 États

Le , par Hinault Romaric

248PARTAGES

7  0 
Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux d’une famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.

Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.

En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé qu’il s’agissait de l’une des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus d’une centaine d’ordinateurs Windows dans ces pays. Le malware figure au même rang que Regin, un cheval de Troie hautement complexe qui avait été découvert en novembre dernier par Symantec.

Il a été construit sur les bases de Agents.btz, un ver qui s’était introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de l’armée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l’ US Cyber Command.

Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant l’OS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.

Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par l’éditeur G-Data, qui se basait sur l’analyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.

La découverte d’une variante sous Linux montre que ses capacités ont été sous-estimées. « L’échantillon de Turla nouvellement découvert est inhabituel du fait que c’est le premier échantillon que nous avons trouvé qui cible les systèmes d’exploitation Linux », a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Nous soupçonnons que cette composante est en cours d’exécution depuis des années. »

Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer

Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.

Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré d’informations sous forme de symboles qui complexifient les opérations de « reverse engineering ».

La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.

Source : Kaspersky

Et vous ?

Que pensez-vous du malware Turla ?

Serai-t-on en plein dans une cyberguerre ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 10/12/2014 à 15:52
L'article ne dit pas grand-chose sur son mode de propagation sur système Linux, en fait.
6  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 10/12/2014 à 10:19
Citation Envoyé par Hinault Romaric Voir le message
Serai-t-on en plein dans une cyberguerre ?
Je pense que la question ne se pose plus
La question qui se pose désormais est de savoir à partir de quel moment une attaque virtuelle va justifier une déclaration de guerre "officielle" qui débouchera sur une guerre IRL ?
4  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 10/12/2014 à 9:42
Mais pourquoi vous vous embêtez à répondre à la petite phrase trollesque de sevyc64? lol

Que pensez-vous du malware Turla ?
Une cyberarme de plus démasquée, on prend conscience que la guerre change réellement de terrain, et on s'attriste de voir l'hypocrisie des états. On se demande si la paix, relative, entre les états n'est du qu'à la dissuasion nucléaire et non à une vrai volonté de pacification. Car à la moindre possibilité de faire un coup en douce, ils s'y engouffrent, et l'informatique (et notamment internet) leur à donner un nouveau terrain de jeu. Hypocrisie encore plus grande quand on voit la volonté de contrôler le net, alors qu'eux même ne s'imposent aucun contrôle.
4  1 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 10/12/2014 à 15:07
Citation Envoyé par Agrajag Voir le message
-> Serai-t-on en plein dans une cyberguerre ?
On peut dire ça, sauf qu'on utilise toujours les armes que nos adversaires nous mettent à disposition.
De la même manière qu'on se moque des mouvements non-gouvernementaux rebelles qui s'approvisionnent en arme via la Russie ou les USA, on pourrait songer à rire de nos cyber-batailles où l'on se sert d'armes piégées dont le code est parfaitement inconsultable, et qui risque plus de nous nuire que de nous être utile dans cette confrontation : OS étranger (Apple, Microsoft) Plateformes étrangères (BDD Oracle, Java RE), Consoles Etrangères (Microsoft, Sony, Nintendo), Machine et smartphones Etrangers (Dell, Samsung, Microsoft, Nokia), Editeurs de jeux sur ces plateformes (dont très peu sont Français), et Editeurs de logiciels.
De plus, la plupart de ces "acteurs" proviennent d'un seul et même Pays.

Et c'est pas avec Mageia (quoique, c'est un début... saluons l'initiative) qu'on va s'en sortir !
Côté armement, la France fait parti des big 5 et ce n'est pas sans raison, y compris en ce qui concerne l'informatique
Une filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.
Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pub
A partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à France

Ce n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contraire
3  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 10/12/2014 à 15:29
Citation Envoyé par Saverok Voir le message
Côté armement, la France fait parti des big 5 et ce n'est pas sans raison, y compris en ce qui concerne l'informatique
Une filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.
Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pub
A partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à France

Ce n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contraire
Tu es sur pour EADS? Si on parle bien de la même Amesys, celle ci est une filiale de Bull est a plutôt mauvaise presse (aide à l'espionnage en Lybie sous le régime Kadhafi).
3  0 
Avatar de williamp
Membre du Club https://www.developpez.com
Le 11/12/2014 à 14:49
Si vous voulez vraiment faire dans le "confidentiel", il va falloir apprendre à prendre des précautions, c'est la vie hein. Faire confiance à d'autres, sans les connaitre, c'est stupide.

De mon point vue, c'est la séparation qui est importante. Le net, c'est la voie publique.

Ce qui est confidentiel ne doit jamais se retrouvé connecté.

Vous devez séparer ce qui est confidentiel du reste. Ainsi, travailler sur un support dédié (clé usb, disque dur etc), et mettre votre système sur un support en lecture seule. Tout cela déconnecté physiquement du réseau.

Vous devez embaucher des gens sérieux, qui respectent les procédures, et qui sont honnêtes.
(ça existe et ça se reconnait, vous savez, ce sont ceux qu'on vire parce qu'ils sont trop à cheval sur les principes)

Vous devrez mettre à jour votre système sur le support en lecture seule, depuis un autre pc. Ailleurs. C'est très bien comme cela.

Si vous voulez vraiment éviter de raconter votre vie à Google ou MS ou IBM, téléchargez systématiquement la doc complète des choses que vous utilisez, et consultez là, off line. Très important.

C'est pas "pratique", certes, mais faut savoir ce qu'on veut. Tout se dose.
3  0 
Avatar de Escapetiger
Expert éminent https://www.developpez.com
Le 09/12/2014 à 23:36
Citation Envoyé par Hinault Romaric Voir le message

Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.

La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.

Que pensez-vous du malware Turla ?

Serai-t-on en plein dans une cyberguerre ?
Citation Envoyé par sevyc64 Voir le message
Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.
Au delà de l'humour de sevyc64 plutôt mal perçu à chaud, le malware en question (virus ?) est une "solution" de plus pour établir son pouvoir technologique, que ce soit m$soft ou linux.

Pas d'avis technique sur Turla, place aux chercheurs du monde entier qui s'y connaissent.

La cyberguerre a déjà commencé aux yeux du plus grand nombre (enfin surtout les technophiles, techno-compréhensifs,etc...) depuis des articles récurrents et vérifiables dans leurs conséquences, Stuxnet pour les centrales nucléaires iraniennes par exemple.

Une des questions qui me vient à l'esprit, là, maintenant :
Est-ce que nos gouvernements ont bien pris conscience de ces menaces ? et qu'à force d'avoir une logique strictement financière, ne sont-ils pas en train de creuser notre tombe .. et la leur (et ceux de leurs "obligés", de leurs "commanditaires" ) ?
M'est avis que les bouquins de Science-Fiction du passé (parfois considérés comme "ringard", plus pour la forme que pour le fond) vont devenir sous peu des livres de philosophie, de sociologie de facto.
2  0 
Avatar de Conaclos
Nouveau membre du Club https://www.developpez.com
Le 10/12/2014 à 13:28
Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.
Tous système est corruptible, d'une manière ou d'une autre...
De plus Linux n'est pas un noyau dont la priorité est la sécurité... si tel était le cas il intégrerait depuis longtemps une majorité de propositions faites par SELinux...
3  1 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 10/12/2014 à 15:01
Citation Envoyé par temoanatini Voir le message
Sait-on depuis quand le malware est dans Linux ?
Citation Envoyé par Agrajag Voir le message
@temoanatini :
Est-ce qu'un Etat, en passant par divers contributeurs intermédiaires, peut avoir la possibilité de faire des pull request sur certains projets ?
Comme dit imikado il n'est pas dans Linux. Il ne s'agit pas d'une backdoor mais d'un malware.
4  2 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 10/12/2014 à 15:45
Citation Envoyé par benjani13 Voir le message
Tu es sur pour EADS? Si on parle bien de la même Amesys, celle ci est une filiale de Bull est a plutôt mauvaise presse (aide à l'espionnage en Lybie sous le régime Kadhafi).
Il s'agit bien de la même
Je me suis gouré sur la filiation, méa culpa

Et vi, on vend rarement des armes à des gentils, surtout quand il s'agit d'instrument de surveillance de masse d'une population...
La plupart des ventes d'armes se font dans le secret
Le cas de la Libye est sorti dans la presse mais combien d'autres contrats restent dans l'ombre ?
On ne connaît que la face émergée de l'iceberg sur ces sujets
Contrairement aux USA, la France n'a pas eu droit à son lanceur d'alerte.
2  0