Les diplomates européens visés par une cyberattaque venue de Russie

turla-diplomates.jpg

Déjà connu pour avoir ciblé des victimes de premier plan, comme le ministère allemand des affaires étrangères ou encore l’armée américaine, le groupe de cyberespionnage russe Turla serait à l’origine d’une nouvelle attaque politique, cette fois contre des cibles diplomatiques européennes.

Un groupe russe spécialisé dans les cibles politiques

Selon les chercheurs à l’origine de l’information, Turla, également connu sous les noms de Snake et d’Uroburos, aurait perfectionné son recours à des scripts PowerShell :

[Ces scripts] autorisent le chargement direct en mémoire et l’exécution d’exécutables et de librairies de malwares. (…) [Ils] demeurent sur le système en ne chargeant régulièrement dans la mémoire que les exécutables embarqués.

L’utilisation des backdoors RPC par Turla (© ESET)

L’utilisation des backdoors RPC par Turla (© ESET)

Le cloud et l’e-mail particulièrement visés

Diverses versions de ces scripts, disponibles en téléchargement, sont régulièrement utilisés par le groupe Turla. Ils peuvent être disséminés notamment par le stockage en cloud (via OneDrive, par exemple) ou encore sur les serveurs d’e-mail. Une version spécifique à Microsoft Exchange a ainsi été découverte.

(Source : ESET)