Le redoutable groupe de hackers russes Turla est toujours aussi actif. Les chercheurs en sécurité d’Accenture ont détecté sa présence dans les réseaux d’une organisation gouvernementale européenne, sans donner plus de précision.
D’après les services secrets estoniens, Turla serait une émanation du service de renseignement russe FSB. Pour s’infiltrer dans les systèmes de cette administration, les hackers se sont appuyés sur une combinaison de portes dérobées et de chevaux de Troie permettant la prise de contrôle à distance.
Les premières, baptisées « HyperStack », s’appuient sur le protocole RPC pour infecter les systèmes de proche en proche. Les seconds, appelés « Kazar » et « Carbon », sont utilisés pour espionner les systèmes et exfiltrer les données. Dans certains cas, les chevaux de Troie téléchargent les commandes à exécuter sur le site Pastebin où celles-ci sont déposées de façon chiffrée par les hackers.
Turla continuera probablement d’utiliser ses outils traditionnels pour compromettre et maintenir l’accès à long terme à ses victimes parce que ces outils ont fait leurs preuves contre les réseaux windows.
Source : accenture.com
