Détection du Malware Snake : Implant de Cyberespionnage Exploité par le APT Turla Affilié à la Russie dans une Campagne de Longue Durée Contre les Pays de l’OTAN
Table des matières :
Le 9 mai 2023, le ministère de la Justice des États-Unis a révélé les détails d’une opération conjointe intitulée MEDUSA qui a conduit à la perturbation de l’infrastructure d’implantation de cyber-espionnage Snake, activement utilisée pour cibler plus de 50 pays en Amérique du Nord, en Europe et en Afrique.
Apparu pour la première fois en 2003, l’outil malveillant a été utilisé par le groupe Turla, lié au Service fédéral de sécurité de la fédération de Russie (FSB), pour mener des attaques contre diverses cibles d’intérêt, y compris les gouvernements membres de l’OTAN. Suite à la perturbation de la campagne Snake, l’Agence nationale de la sécurité (NSA) et plusieurs agences partenaires ont exhortéles organisations à prendre des mesures pertinentes visant à détecter et à atténuer l’activité malveillante liée à Snake.
Détecter le logiciel malveillant Snake utilisé par les acteurs de menace affiliés à la Russie
L’implant détecté Snake, considéré comme l’outil de cyber-espionnage le plus avancé utilisé par le FSB russe et couvert dans le dernier CSA conjoint AA23-129A, la communauté mondiale de défenseurs cybernétiques doit accroître la sensibilisation et augmenter la résilience cybernétique pour aider les organisations à identifier en temps voulu l’activité de l’adversaire lié. La plateforme Detection as Code de SOC Prime permet aux organisations de conduire une défense cybernétique collective pour assurer un avenir numérique plus sûr en enrichissant continuellement son Threat Detection Marketplace avec des règles Sigma sélectionnées pour les menaces émergentes. Pour aider les défenseurs cybernétiques à se défendre de manière proactive contre le logiciel malveillant Snake lié à la Russie, l’équipe SOC Prime a récemment publié une vaste collection de règles Sigma enrichies en contexte.
Toutes les règles Sigma de cet ensemble de détection sont filtrées par les balises personnalisées “AA23-129A” et “Snake_Malware” basées sur le code CSA correspondant et le nom de la charge utile pour permettre une recherche simplifiée des algorithmes de détection.
En cliquant sur le bouton Explore Detections ci-dessous, les équipes de sécurité peuvent accéder instantanément à l’ensemble complet de règles Sigma pour la détection des logiciels malveillants Snake. Les algorithmes de détection sont alignés avec MITRE ATT&CK v12, couvrent plusieurs sources de journaux et sont applicables aux solutions SIEM, EDR et XDR de premier plan dans l’industrie. Les ingénieurs en sécurité peuvent également explorer les métadonnées pertinentes, y compris les références ATT&CK et CTI, pour une enquête approfondie sur les menaces.
Analyse des logiciels malveillants Snake
Considéré comme l’un des échantillons de logiciels malveillants de cyber-espionnage les plus notoires et durables du FSB, Snake est actif depuis au moins 20 ans, ciblant secrètement des organisations d’intérêt pour la fédération de Russie. La liste des victimes inclut des organisations du secteur public de l’OTAN, des journalistes, des représentants des médias, des établissements éducatifs et des petites entreprises. Les infrastructures critiques, la finance, la fabrication, les secteurs des télécommunications ont également été affectés.
Selon les chercheurs en sécurité, le logiciel malveillant Snake est apparu pour la première fois sur la scène malveillante en 2003-2004 sous le nom d’Uroburos. Étant lié au collectif de piratage Turla au sein du Centre 16 du FSB, l’implant a été continuellement utilisé par des adversaires pour voler des informations sensibles et des documents et déployer des logiciels malveillants supplémentaires via un réseau Peer-to-Peer clandestin. Il est typiquement déployé avec l’aide de nœuds d’infrastructure ouverts sur le réseau ciblé. Par ailleurs, Snake utilise d’autres outils et TTP sur le réseau interne pour continuer ses activités malveillantes.
Grâce à l’Opération MEDUSA, le FBI a réussi à perturber tous les systèmes impactés aux États-Unis, tandis qu’en dehors du pays, l’agence a coordonné avec les autorités locales pour fournir des conseils de détection et de remédiation et retirer l’implantation Snake. Comme détaillé dans la note du ministère de la Justice, les experts du FBI ont développé un outil dédié appelé PERSEUS, capable de forcer le logiciel malveillant Snake à se désactiver et à se terminer sans causer d’effet néfaste à l’ordinateur hôte ou aux applications affiliées.
Les agences américaines et leurs alliés ont émis un avis conjoint aidant les organisations affectées à repérer l’infrastructure de logiciels malveillants Snake russe et à prendre des mesures d’atténuation.
Avec les volumes croissants d’attaques cybernétiques lancées par les forces offensives affiliées à la Russie, les défenseurs cybernétiques ont besoin d’une réactivité extrême pour se défendre proactivement contre l’activité malveillante des agresseurs. SOC Prime propose une large collection de règles Sigma contre les APTs parrainées par l’État russe, ainsi que 50 algorithmes de détection sélectionnés adaptés aux besoins de sécurité de l’organisation. Obtenez l’abonnement Sigma2SaveLives avec 100 % des revenus donnés pour fournir une aide ciblée au peuple ukrainien tout en renforçant considérablement votre posture de cybersécurité.
