ESET Research a découvert deux nouvelles portes dérobées, LunarWeb et LunarMail, utilisées par le groupe de cyberespionnage Turla pour cibler des missions diplomatiques européennes. Ces portes dérobées ont permis de compromettre plusieurs missions diplomatiques d’un ministère européen des Affaires étrangères, principalement au Moyen-Orient.
L’objectif de cette opération est le cyberespionnage. ESET estime que le groupe Turla, lié à la Russie, est responsable de ces attaques.
LunarWeb et LunarMail utilisent différentes techniques pour exfiltrer des informations. LunarWeb utilise HTTP(S) pour imiter des requêtes légitimes et exfiltrer des informations système comme les détails de l’ordinateur, les processus en cours, les services et les produits de sécurité installés. LunarMail, quant à lui, agit comme un complément Outlook et utilise des emails pour ses communications C&C. Il collecte des informations à partir des emails envoyés et offre des capacités de commande plus limitées que LunarWeb, mais permet d’écrire des fichiers, de créer des processus et de prendre des captures d’écran.
Les deux portes dérobées peuvent exécuter des scripts Lua et utilisent la stéganographie pour cacher les commandes dans les images. Leurs chargeurs peuvent inclure des logiciels open source trojanisés, ce qui démontre les techniques avancées des attaquants.
Selon Filip Jurčacko, chercheur à ESET, le développement et l’exploitation de ces outils ont probablement impliqué plusieurs personnes. En effet, le contraste entre l’installation minutieuse sur les serveurs et les erreurs de codage des portes dérobées suggère une collaboration entre plusieurs individus.
Cette découverte met en lumière la menace persistante que représentent les groupes de cyberespionnage comme Turla. Il est important que les organisations, en particulier les missions diplomatiques, prennent des mesures pour se protéger contre ces attaques sophistiquées.
