Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux d’une famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.
En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé qu’il s’agissait de l’une des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus d’une centaine d’ordinateurs Windows dans ces pays. Le malware figure au même rang que Regin, un cheval de Troie hautement complexe qui avait été découvert en novembre dernier par Symantec.
Il a été construit sur les bases de Agents.btz, un ver qui s’était introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de l’armée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l’ US Cyber Command.
Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant l’OS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.
Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par l’éditeur G-Data, qui se basait sur l’analyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.
La découverte d’une variante sous Linux montre que ses capacités ont été sous-estimées. « L’échantillon de Turla nouvellement découvert est inhabituel du fait que c’est le premier échantillon que nous avons trouvé qui cible les systèmes d’exploitation Linux », a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Nous soupçonnons que cette composante est en cours d’exécution depuis des années. »
Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer
Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.
Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré d’informations sous forme de symboles qui complexifient les opérations de « reverse engineering ».
La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.
Source : Kaspersky
Et vous ?
Que pensez-vous du malware Turla ? Serai-t-on en plein dans une cyberguerre ? 
Envoyé par Hinault Romaric
