Des diplomates européens victimes d’une campagne de cyberespionnage ciblée par un groupe de pirates informatiques présumés liés au renseignement russe.
L’opération, menée par le groupe Turla, alias Snake, a compromis les serveurs de plusieurs missions diplomatiques d’un ministère des Affaires étrangères européen.
Les pirates ont utilisé deux portes dérobées inédites, LunarWeb et LunarMail, pour voler des informations sensibles, notamment des emails, des processus en cours, des captures d’écran et des informations système.
ESET Research, qui a découvert les portes dérobées, a également identifié un malware nommé AridSpy, utilisé par le groupe Arid Viper pour espionner des utilisateurs en Palestine et en Égypte.
Les deux groupes, Turla et Arid Viper, sont connus pour leurs activités de cyberespionnage ciblant des gouvernements et des organisations dans différentes régions du monde.
Les portes dérobées LunarWeb et LunarMail, sophistiquées, étaient capables d’exécuter des scripts Lua, de se cacher dans des images et d’utiliser des emails pour communiquer avec les serveurs de commande et de contrôle des pirates.
ESET estime que l’opération était le fait de plusieurs personnes, en raison des différences de style de codage observées.
Cette campagne de cyberespionnage est un rappel des menaces qui pèsent sur les organisations gouvernementales et diplomatiques.
Voici quelques exemples concrets de l’espionnage effectué par les pirates :
- Vol d’emails : Les pirates ont pu accéder aux emails des diplomates, ce qui leur a permis de voler des informations sensibles et de suivre leurs communications.
- Exfiltration de données : Les pirates ont également volé des informations système, telles que les détails des ordinateurs infectés, les processus en cours et les produits de sécurité installés.
- Capture d’écran : Les pirates ont pu prendre des captures d’écran des ordinateurs des diplomates, ce qui leur a permis de voir ce qu’ils faisaient sur leurs écrans.
- Exécution de commandes à distance : Les pirates ont pu prendre le contrôle des ordinateurs des diplomates à distance, ce qui leur a permis d’installer des logiciels malveillants, de voler des données supplémentaires et d’espionner davantage leurs activités.
Pour se protéger contre ce type d’attaque, les organisations gouvernementales et diplomatiques doivent mettre en place des mesures de sécurité robustes, notamment :
- Utiliser des logiciels de sécurité de pointe et les maintenir à jour.
- Former les employés aux bonnes pratiques de sécurité.
- Mettre en place des contrôles d’accès stricts.
- Surveiller les réseaux pour détecter les activités suspectes.
- Partager des informations sur les cybermenaces avec d’autres organisations afin de pouvoir mieux se défendre collectivement.
- Il est également important de rester informé des dernières menaces et vulnérabilités en matière de cybersécurité.
En conclusion, cette campagne de cyberespionnage est un événement préoccupant qui met en évidence la nécessité d’une vigilance accrue de la part des organisations gouvernementales et diplomatiques.
