Turla et Gamaredon, deux des cyber-gangs les plus actifs, liés au Kremlin, ont été repérés en train de collaborer et ce, pour la première fois. Voilà ce que révèlent des chercheurs de la firme de sécurité ESET.
Des logiciels malfaisants appartenant à ces deux groupes ont été découverts conjointement sur des appareils de grande valeur en Ukraine, selon les chercheurs sur leur blog. Le malware en question provient de Turla et de Gamaredon. Turla est l’un des APT (Advanced Persistent Threat groups, une cyber-organisation bien organisée qui travaille généralement pour un état-nation, ndlr) les plus sophistiqués au monde. Le groupe est lié à des cyberattaques lancées contre le ministère américain de la défense en 2008 et, plus récemment, contre le ministère allemand des affaires étrangères et l’armée française. Turla utilise notamment l’internet par satellite pour se dissimuler et semble viser principalement des cibles spécifiques, souvent bien sécurisées, susceptibles de contenir des informations importantes.
Le groupe travaille probablement pour le FSB, l’agence de renseignement russe, tout comme Gamaredon. Cette dernière est une APT distincte qui mène des opérations beaucoup plus vastes, souvent en Ukraine. Contrairement à Turla, Gamaredon ne semble pas se soucier du secret de ses attaques. Le logiciel malveillant du groupe collecte à court terme un maximum d’informations sur ses cibles et brouille rarement ses pistes.
Collaboration
ESET affirme avoir trouvé du malware des deux groupes à plusieurs reprises ces derniers mois sur le même appareil ou sur des appareils interconnectés. Les chercheurs indiquent que Turla a piraté des appareils précédemment infectés par Gamaredon, mais il s’agit probablement d’une collaboration. ‘Comme les deux groupes font partie du FSB russe, Gamaredon est en mesure de permettre aux agents de Turla d’accéder à des machines spécifiques’, selon les chercheurs.
Le logiciel ESET installé sur l’un des appareils infectés a détecté que Turla envoyait des commandes à l’appareil via la source d’infection de Gamaredon. C’est la première fois qu’ESET observe une collaboration entre les deux groupes. Les chercheurs soupçonnent que Gamaredon infecte des centaines, voire des milliers, de machines et que Turla en sélectionne quelques-unes pour un contrôle plus approfondi, probablement celles contenant les informations les plus sensibles.