Demandez la cybersécurité occidentale les analystes du renseignement qui est leur groupe “préféré” de pirates informatiques étrangers parrainés par un État – l’adversaire qu’ils ne peuvent s’empêcher d’admirer à contrecœur et d’étudier de manière obsessionnelle – et la plupart ne nommeront aucun des nombreux groupes de pirates informatiques travaillant au nom de la Chine ou du Nord Corée. Pas l’APT41 chinois, avec ses attaques effrontées sur la chaîne d’approvisionnement, ni les pirates informatiques nord-coréens Lazarus qui réalisent des braquages massifs de crypto-monnaie. La plupart ne pointeront même pas vers le célèbre groupe de pirates russes Sandworm, malgré les cyberattaques sans précédent de l’unité militaire contre les réseaux électriques ou le code auto-réplicatif destructeur.
Au lieu de cela, les connaisseurs de l’intrusion informatique ont tendance à nommer une équipe de cyberespions beaucoup plus subtile qui, sous diverses formes, a pénétré silencieusement les réseaux à travers l’Occident depuis bien plus longtemps que tout autre : un groupe connu sous le nom de Turla.
La semaine dernière, le ministère américain de la Justice et le FBI ont annoncé qu’ils avaient démantelé une opération de Turla – également connue sous des noms tels que Venomous Bear et Waterbug – qui avait infecté des ordinateurs dans plus de 50 pays avec un logiciel malveillant connu sous le nom de Snake, que le Les agences américaines décrites comme le “premier outil d’espionnage” de l’agence de renseignement russe FSB. En infiltrant le réseau de machines piratées de Turla et en envoyant au logiciel malveillant une commande pour se supprimer, le gouvernement américain a infligé un sérieux revers aux campagnes mondiales d’espionnage de Turla.
Mais dans son annonce – et dans les documents judiciaires déposés pour mener à bien l’opération – le FBI et le DOJ sont allés plus loin et ont officiellement confirmé pour la première fois le reportage d’un groupe de journalistes allemands l’année dernière qui a révélé que Turla travaillait pour le Centre 16 du FSB. groupe à Riazan, en dehors de Moscou. Il a également fait allusion à l’incroyable longévité de Turla en tant qu’équipe de cyberespionnage de premier plan : un affidavit déposé par le FBI indique que le logiciel malveillant Turla’s Snake est utilisé depuis près de 20 ans.
En fait, Turla fonctionne sans doute depuis au moins 25 ans, explique Thomas Rid, professeur d’études stratégiques et historien de la cybersécurité à l’Université Johns Hopkins. Il montre des preuves que c’est Turla – ou du moins une sorte de proto-Turla qui allait devenir le groupe que nous connaissons aujourd’hui – qui a mené la toute première opération de cyberespionnage par une agence de renseignement ciblant les États-Unis, une campagne de piratage pluriannuelle connue sous le nom de Labyrinthe au clair de lune.
Compte tenu de cette histoire, le groupe sera absolument de retour, dit Rid, même après la dernière perturbation de sa boîte à outils par le FBI. “Turla est vraiment l’APT par excellence”, déclare Rid, en utilisant l’abréviation de “menace persistante avancée”, un terme que l’industrie de la cybersécurité utilise pour désigner les groupes de piratage d’élite parrainés par l’État. « Son outillage est très sophistiqué, il est furtif et persistant. Un quart de siècle parle de lui-même. Vraiment, c’est l’adversaire numéro un.
Tout au long de son histoire, Turla a disparu à plusieurs reprises dans l’ombre pendant des années, pour réapparaître à l’intérieur de réseaux bien protégés, notamment ceux du Pentagone américain, des sous-traitants de la défense et des agences gouvernementales européennes. Mais plus encore que sa longévité, c’est l’ingéniosité technique en constante évolution de Turla – des vers USB au piratage par satellite, en passant par le détournement de l’infrastructure d’autres pirates – qui l’a distingué au cours de ces 25 années, déclare Juan Andres Guerrero-Saade, chercheur principal sur les menaces. à la société de sécurité SentinelOne. “Vous regardez Turla, et il y a plusieurs phases où, oh mon dieu, ils ont fait cette chose incroyable, ils ont été les pionniers de cette autre chose, ils ont essayé une technique intelligente que personne n’avait faite auparavant et l’ont mise à l’échelle et mise en œuvre”, dit Guerrero -Saadé. “Ils sont à la fois innovants et pragmatiques, et cela en fait un groupe APT très spécial à suivre.”