ESET Research découvre deux portes dérobées jusqu’alors inconnues, il s’agit de LunarWeb et LunarMail. L’enquête d’ESET a débuté dès la détection d’un logiciel de chargement de charge utile chiffrée sur un serveur non identifié. ESET a ensuite observé des déploiements simultanés de LunarWeb dans trois missions diplomatiques d’un pays européen au Moyen-Orient, suggérant un accès préalable au contrôleur de domaine du ministère des Affaires étrangères. Les chercheurs estiment que ces compromissions pourraient être l’œuvre du groupe de cyber espionnage Turla, aligné sur la Russie.
L’objectif de la campagne est le cyber espionnage. Turla, aussi connu sous le nom de Snake et soupçonné d’être lié au FSB russe, est actif depuis les années 1990 et cible principalement des gouvernements et organisations diplomatiques en Europe, Asie centrale et Moyen-Orient, avec des violations notables comme celles du ministère américain de la Défense en 2008 et de la société suisse RUAG en 2014.
LunarWeb utilise HTTP(S) pour ses communications C&C et imite des requêtes légitimes. Il exfiltre des informations système, telles que les détails de l’ordinateur, les processus en cours, les services et les produits de sécurité installés. LunarMail de son côté agit comme un complément Outlook en utilisant des emails pour ses communications C&C.
Il collecte des informations à partir des emails envoyés et offre des capacités de commande plus limitées que LunarWeb, mais permet d’écrire des fichiers, créer des processus et prendre des captures d’écran. Les deux portes dérobées peuvent exécuter des scripts Lua. Elles utilisent la stéganographie pour cacher les commandes dans les images. Leurs chargeurs peuvent inclure des logiciels open source trojanisés, démontrant les techniques avancées des attaquants.
« Le contraste entre l’installation minutieuse sur les serveurs afin d’éviter l’analyse par un logiciel de sécurité, les erreurs de codage et les différents styles de codage des portes dérobées, nous laisser penser que plusieurs personnes ont probablement été impliquées dans le développement et l’exploitation de ces outils. », explique Filip Jurčacko, chercheur à ESET, qui a découvert l’ensemble d’outils Lunars.
D’après communiqué
