Le ministère américain de la Justice a une autre plume dans son chapeau de cyberguerre après avoir démantelé le réseau de cybercriminalité de Turla, un gang criminel lié à la Russie appelé l’un des groupes de cyberespionnage les plus sophistiqués au monde.
Des responsables fédéraux ont annoncé mardi que les agences de cybersécurité et de renseignement de tous les pays membres de Five Eyes avaient mis hors service l’infrastructure utilisée par le logiciel malveillant de cyberespionnage Snake exploité par le Service fédéral de sécurité (FSB) de Russie.
Le DOJ a également signalé avoir neutralisé le malware Snake utilisé par le groupe. Les rapports affirment qu’il a été trouvé sur des ordinateurs dans 50 pays et précédemment étiqueté par les services de renseignement américains comme « l’un des ensembles de logiciels malveillants les plus sophistiqués utilisés par les services de renseignement russes ».
Des cyberacteurs malveillants ont utilisé Snake pour accéder et exfiltrer des documents de relations internationales sensibles et d’autres communications diplomatiques par l’intermédiaire d’une victime dans un pays de l’OTAN. Aux États-Unis, le FSB a victimisé des industries, notamment des établissements d’enseignement, des petites entreprises et des médias.
Infrastructure critique touchée par le vieillissement des logiciels malveillants Snake
Selon les rapports de la Cybersecurity & Infrastructure Security Agency (CISA), les secteurs des infrastructures critiques, tels que les administrations locales, la finance, la fabrication et les télécommunications, ont également été touchés. La CISA est l’agence principale responsable de la protection des infrastructures critiques du pays contre les menaces physiques et cybernétiques.
L’annonce du retrait a surpris certains experts en cybersécurité en raison de sa nature vieillissante. Le FSB utilisait encore Snake jusqu’au démontage. La porte dérobée Snake est un ancien framework qui a été développé en 2003 et plusieurs fois lié au FSB par de nombreux fournisseurs de sécurité, selon Frank van Oeveren, responsable, Threat Intelligence & Security Research chez Fox-IT, qui fait partie du groupe NCC.
« Normalement, on s’attendrait à ce que les acteurs de l’État-nation brûlent le cadre et commencent à développer quelque chose de nouveau. Mais Snake lui-même est sophistiqué et bien assemblé, ce qui montre combien de temps et d’argent ont été consacrés au développement du framework », a-t-il déclaré à TechNewsWorld.
Victoire de haut niveau
« Pendant 20 ans, le FSB s’est appuyé sur le malware Snake pour mener un cyberespionnage contre les États-Unis et nos alliés – cela se termine aujourd’hui », a déclaré le procureur général adjoint Matthew G. Olsen de la division de la sécurité nationale du ministère de la Justice.
De toute évidence, les opérateurs de la porte dérobée Snake ont commis des erreurs. C’est souvent ainsi que les cyber-détectives réussissent à éliminer, a noté van Oeveren.
« Au fil des ans, plusieurs démantèlements ont été effectués sur les backdoors/botnets du service de renseignement russe, ce qui montre un certain degré d’amateurisme. Mais Turla a montré ses compétences et sa créativité [throughout]et cela ne doit pas être sous-estimé », a-t-il déclaré.
Selon l’équipe Fox-IT de NCC Group, la porte dérobée Snake n’est utilisée que pour des cibles de premier plan, telles que les gouvernements, le secteur public ou les organisations travaillant en étroite collaboration avec ces deux-là.
« Cette porte dérobée est purement utilisée pour l’espionnage et pour rester sous le radar aussi longtemps que possible », a-t-il déclaré.
Cachant à la vue
Il y a quelques années, l’équipe de sécurité de van Oeveren a travaillé sur un cas de réponse à un incident où le malware Snake a été observé. Au cours de cette affaire, Turla est restée non détectée pendant quelques années et n’a été retrouvée que par pure chance, a expliqué van Oeveren. La porte dérobée a été utilisée pour exfiltrer des documents sensibles liés à l’organisation de la victime.
« Turla continuera très probablement avec un cadre différent, mais c’est toujours une surprise ce que le groupe fera », a-t-il proposé.
Ces derniers temps, le service de renseignement russe a créé plusieurs portes dérobées dans différents langages de programmation, a noté van Oeveren. Cela montre la volonté de développer de nouveaux outils pour leurs opérations, et il s’attend à ce qu’ils développent maintenant une boîte à outils similaire dans un langage de programmation différent.
« Ne sous-estimez pas le groupe qui utilise la porte dérobée Snake. Comme nous l’avons vu précédemment, il est persistant et passe généralement inaperçu pendant de nombreuses années avant d’être découvert sur un réseau cible », a-t-il averti.
Les victimes de Snake doivent toujours s’attaquer aux compromis Snake/Turla avec des sociétés renommées d’intervention en cas d’incident. Il a averti que ces attaques et l’utilisation de la porte dérobée sont trop sophistiquées pour être gérées par vous-même.
Rester en sécurité
Les organisations peuvent prendre plusieurs mesures pour se protéger des attaques de logiciels malveillants comme le Snake Malware, a conseillé James Lively, spécialiste de la recherche sur la sécurité des terminaux chez Tanium. Ces efforts consistent notamment à s’assurer que l’organisation dispose d’un inventaire précis des actifs, que les systèmes sont corrigés et mis à jour, que des campagnes de phishing et des formations sont entreprises et que des contrôles d’accès rigoureux sont mis en œuvre.
« La coopération internationale peut également être améliorée pour lutter contre la cybercriminalité en encourageant le partage d’informations et en signant des accords et des NDA et en menant des enquêtes conjointes », a-t-il déclaré à TechNewsWorld.
La plus grande menace de cybersécurité à laquelle sont confrontées les organisations aujourd’hui est la menace interne. Les organisations ne peuvent pas faire grand-chose pour empêcher un employé mécontent ou une personne ayant un accès élevé de causer des dommages catastrophiques.
« Pour lutter contre cette menace, les organisations doivent chercher à limiter l’accès aux ressources et attribuer le nombre minimum d’autorisations aux utilisateurs dont ils ont besoin pour accomplir leurs tâches », a suggéré Lively.
La principale leçon à tirer de la perturbation du réseau de logiciels malveillants Snake est qu’il suffit d’un système non corrigé ou d’un utilisateur non formé pour cliquer sur un lien de phishing pour compromettre toute une organisation, a-t-il expliqué. Les fruits à portée de main ou emprunter la route avec le moins de résistance sont souvent la première avenue qu’un attaquant cible.
« Un excellent exemple de ceci est un ancien système non corrigé qui est public face à Internet et qui a été oublié par l’organisation », a-t-il donné en exemple.
Coopération internationale essentielle
Démanteler un vaste réseau géré par une agence de sécurité au niveau de l’État est, sans aucun doute, une entreprise majeure. Mais même avec cela, il est toujours surprenant que le malware Snake ait pu fonctionner aussi longtemps qu’il l’a fait, a observé Mike Parkin, ingénieur technique senior chez Vulcan Cyber, société de remédiation des risques informatiques d’entreprise.
Les acteurs de la menace peuvent utiliser de nombreux vecteurs d’attaque différents pour atterrir leurs charges utiles de logiciels malveillants, il n’y a donc jamais qu’une seule chose. Cela dit, la formation des utilisateurs est essentielle car les utilisateurs d’une organisation constituent sa surface de menace la plus vaste et la plus complexe.
Les organisations doivent également s’assurer que leurs systèmes d’exploitation et leurs applications sont tenus à jour avec un programme de correctifs cohérent et efficace – et s’assurer que les applications sont déployées selon les meilleures pratiques de l’industrie avec des configurations sécurisées est également une nécessité, selon Parkin.
« En ce qui concerne la politique internationale et les questions géopolitiques, il peut être très difficile de coopérer efficacement au-delà des frontières. La plupart des pays occidentaux peuvent travailler ensemble, bien que des problèmes de juridiction se mettent souvent en travers de leur chemin. Et obtenir la coopération de nations qui peuvent être au mieux peu coopératives et au pire activement hostiles peut rendre impossible la lutte contre certains acteurs de la menace », a-t-il déclaré à TechNewsWorld.