Il s’agit d’une opération du renseignement russe menée en décembre 2021, repérée par le groupe de chercheurs Mendiant. Dans leur rapport, ils racontent une opération qui a tout de la vieille école du hacking Web. Au travers d’une clé USB introduite auprès d’un opérateur ukrainien, ils ont déployé le botnet Andromeda au cœur des réseaux confidentiels de leur ennemi.
Une attaque vieille école
Russian #cyberespionage group Turla has been using decade-old ANDROMEDA malware's attack infrastructure to deliver its own custom reconnaissance and backdoor (KOPILUWAK and QUIETCANARY) tools to Ukraine.
AnnonceRead details: https://t.co/9sY7DM2Avh#infosec #cybersecurity #hacking
— The Hacker News (@TheHackersNews) January 8, 2023
Pour information, Andromeda est un malware apparu en 2013 permettant de contaminer des ordinateurs à la chaîne afin de créer des portes d’entrée pour de futurs logiciels malveillants. Alors que le groupe derrière cet outil avait été démantelé en 2017, grâce à Interpol, il est sorti du passé par les Russes pour cette opération de cyberattaque.
Le groupe Turla à la manœuvre
Derrière cette mission, un groupe de hackers connu pour sa proximité avec le Kremlin. Turla, aussi appelé Uroburos ou Snake, est connu pour avoir mené des attaques d’ampleur, comme en 2015, sur des organismes gouvernementaux européens, américains ou encore asiatiques. Pour l’anecdote, Kaspersky avait même recensé des hackings menés sur leur propre territoire, en Russie.
C’est donc ce groupe, qui n’est pas officiellement rattaché aux autorités russes, qui a mené une attaque contre les services de renseignement ukrainien en décembre 2021. À trois mois de l’invasion, Andromeda aurait permis, d’après le rapport, d’accéder à des données confidentielles, mais surtout de créer un accès au travers de failles dans les réseaux privés de leur victime.
La clé USB, un outil parfait pour attaquer les cibles hors réseau
Cette méthode de diffusion, au travers d’une clé USB infectée, est tombée en désuétude depuis quelques années. Avec l’émergence du cloud ainsi que l’optimisation du stockage sur les boîtes mail, la plupart des utilisateurs ne se portent plus sur les matériels de stockage physiques.
Cependant, les clés USB gardent une utilité relative dans les secteurs stratégiques. Pour éviter de créer de grandes vulnérabilités au travers de connexions Web trop nombreuses, le support physique permet de conserver des informations avec un meilleur niveau de sécurité. À condition cependant de ne pas se laisser piéger par des hackers russes.
