Linux infecté par une variante de Turla
Un malware sophistiqué utilisé depuis des années pour espionner 45 États
Le 2014-12-09 20:39:19, par Hinault Romaric, Responsable .NET
Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux d’une famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.
Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.
En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé qu’il s’agissait de l’une des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus d’une centaine d’ordinateurs Windows dans ces pays. Le malware figure au même rang que Regin, un cheval de Troie hautement complexe qui avait été découvert en novembre dernier par Symantec.
Il a été construit sur les bases de Agents.btz, un ver qui s’était introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de l’armée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l’ US Cyber Command.
Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant l’OS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.
Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par l’éditeur G-Data, qui se basait sur l’analyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.
La découverte d’une variante sous Linux montre que ses capacités ont été sous-estimées. « L’échantillon de Turla nouvellement découvert est inhabituel du fait que c’est le premier échantillon que nous avons trouvé qui cible les systèmes d’exploitation Linux », a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Nous soupçonnons que cette composante est en cours d’exécution depuis des années. »
Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer
Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.
Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré d’informations sous forme de symboles qui complexifient les opérations de « reverse engineering ».
La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.
Source : Kaspersky
Et vous ?
Que pensez-vous du malware Turla ?
Serai-t-on en plein dans une cyberguerre ?
Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.
En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé qu’il s’agissait de l’une des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus d’une centaine d’ordinateurs Windows dans ces pays. Le malware figure au même rang que Regin, un cheval de Troie hautement complexe qui avait été découvert en novembre dernier par Symantec.
Il a été construit sur les bases de Agents.btz, un ver qui s’était introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de l’armée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l’ US Cyber Command.
Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant l’OS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.
Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par l’éditeur G-Data, qui se basait sur l’analyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.
La découverte d’une variante sous Linux montre que ses capacités ont été sous-estimées. « L’échantillon de Turla nouvellement découvert est inhabituel du fait que c’est le premier échantillon que nous avons trouvé qui cible les systèmes d’exploitation Linux », a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Nous soupçonnons que cette composante est en cours d’exécution depuis des années. »
Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer
Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.
Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré d’informations sous forme de symboles qui complexifient les opérations de « reverse engineering ».
La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.
Source : Kaspersky
Et vous ?
-
Traroth2Membre émériteL'article ne dit pas grand-chose sur son mode de propagation sur système Linux, en fait.le 10/12/2014 à 15:52
-
SaverokExpert éminentJe pense que la question ne se pose plus
La question qui se pose désormais est de savoir à partir de quel moment une attaque virtuelle va justifier une déclaration de guerre "officielle" qui débouchera sur une guerre IRL ?le 10/12/2014 à 10:19 -
benjani13Membre extrêmement actifMais pourquoi vous vous embêtez à répondre à la petite phrase trollesque de sevyc64? lolQue pensez-vous du malware Turla ?le 10/12/2014 à 9:42
-
SaverokExpert éminentCôté armement, la France fait parti des big 5 et ce n'est pas sans raison, y compris en ce qui concerne l'informatique
Une filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.
Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pub
A partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à France
Ce n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contrairele 10/12/2014 à 15:07 -
benjani13Membre extrêmement actifTu es sur pour EADS? Si on parle bien de la même Amesys, celle ci est une filiale de Bull est a plutôt mauvaise presse (aide à l'espionnage en Lybie sous le régime Kadhafi).le 10/12/2014 à 15:29
-
williampMembre du ClubSi vous voulez vraiment faire dans le "confidentiel", il va falloir apprendre à prendre des précautions, c'est la vie hein. Faire confiance à d'autres, sans les connaitre, c'est stupide.
De mon point vue, c'est la séparation qui est importante. Le net, c'est la voie publique.
Ce qui est confidentiel ne doit jamais se retrouvé connecté.
Vous devez séparer ce qui est confidentiel du reste. Ainsi, travailler sur un support dédié (clé usb, disque dur etc), et mettre votre système sur un support en lecture seule. Tout cela déconnecté physiquement du réseau.
Vous devez embaucher des gens sérieux, qui respectent les procédures, et qui sont honnêtes.
(ça existe et ça se reconnait, vous savez, ce sont ceux qu'on vire parce qu'ils sont trop à cheval sur les principes)
Vous devrez mettre à jour votre système sur le support en lecture seule, depuis un autre pc. Ailleurs. C'est très bien comme cela.
Si vous voulez vraiment éviter de raconter votre vie à Google ou MS ou IBM, téléchargez systématiquement la doc complète des choses que vous utilisez, et consultez là, off line. Très important.
C'est pas "pratique", certes, mais faut savoir ce qu'on veut. Tout se dose.le 11/12/2014 à 14:49 -
EscapetigerExpert éminent séniorAu delà de l'humour de sevyc64 plutôt mal perçu à chaud, le malware en question (virus ?) est une "solution" de plus pour établir son pouvoir technologique, que ce soit m$soft ou linux.
Pas d'avis technique sur Turla, place aux chercheurs du monde entier qui s'y connaissent.
La cyberguerre a déjà commencé aux yeux du plus grand nombre (enfin surtout les technophiles, techno-compréhensifs,etc...) depuis des articles récurrents et vérifiables dans leurs conséquences, Stuxnet pour les centrales nucléaires iraniennes par exemple.
Une des questions qui me vient à l'esprit, là, maintenant :
Est-ce que nos gouvernements ont bien pris conscience de ces menaces ? et qu'à force d'avoir une logique strictement financière, ne sont-ils pas en train de creuser notre tombe .. et la leur (et ceux de leurs "obligés", de leurs "commanditaires" ) ?
M'est avis que les bouquins de Science-Fiction du passé (parfois considérés comme "ringard", plus pour la forme que pour le fond) vont devenir sous peu des livres de philosophie, de sociologie de facto.le 09/12/2014 à 23:36 -
ConaclosNouveau membre du ClubBen, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.
De plus Linux n'est pas un noyau dont la priorité est la sécurité... si tel était le cas il intégrerait depuis longtemps une majorité de propositions faites par SELinux...le 10/12/2014 à 13:28 -
benjani13Membre extrêmement actifComme dit imikado il n'est pas dans Linux. Il ne s'agit pas d'une backdoor mais d'un malware.le 10/12/2014 à 15:01
-
SaverokExpert éminentIl s'agit bien de la même
Je me suis gouré sur la filiation, méa culpa
Et vi, on vend rarement des armes à des gentils, surtout quand il s'agit d'instrument de surveillance de masse d'une population...
La plupart des ventes d'armes se font dans le secret
Le cas de la Libye est sorti dans la presse mais combien d'autres contrats restent dans l'ombre ?
On ne connaît que la face émergée de l'iceberg sur ces sujets
Contrairement aux USA, la France n'a pas eu droit à son lanceur d'alerte.le 10/12/2014 à 15:45