Selon les chercheurs en cyber de Mandiant, un groupe de pirates lié à Moscou, connu sous le nom de Turla, a mené une opération de cyberespionnage contre l’Ukraine en utilisant une clé USB malveillante. Le piratage a commencé en décembre 2021 et a permis aux pirates de s’introduire dans un ordinateur ukrainien. Les vieilles techniques de cyberespionnage fonctionnent encore, et cette opération montre que les clés USB malveillantes sont encore utilisées par les pirates pour infiltrer les systèmes informatiques.
Les fichiers installés sur l’ordinateur ukrainien ont permis d’introduire Andromeda, un botnet bien connu de la communauté cyber. Ce botnet a été utilisé pour infecter des centaines de millions d’ordinateurs dans le but de lancer d’autres malwares par la suite. Andromeda a été fourni de manière publique par des hackers criminels et démantelé par Europol en 2017, mais il a été réutilisé cette fois par les membres du renseignement russe pour attaquer l’Ukraine. Les pirates ont commencé à s’en servir en septembre 2022 pour exfiltrer des données depuis une porte dérobée dans le système.
Turla est un groupe de cyberespionnage connu pour cibler des agences gouvernementales, des entités militaires et des diplomatiques dans le monde entier. Selon les chercheurs de Mandiant, « le profilage approfondi réalisé depuis janvier a peut-être permis au groupe de sélectionner des victimes spécifiques et adapter ses efforts d’exploitation pour recueillir et exfiltrer des informations d’importance stratégique afin d’éclairer les priorités russes ».
Il est important de noter que les attaques par clé USB sont devenues obsolètes depuis que le stockage dans le cloud est devenu la norme, mais elles peuvent encore être utilisées dans des secteurs sensibles où l’on évite de passer par le web pour communiquer. Les chercheurs de Mandiant avaient également détecté une campagne de piratage similaire menée par des pirates chinois en décembre 2022. Cela montre que les groupes de pirates utilisent des techniques éprouvées pour infiltrer les systèmes informatiques, même si elles sont considérées comme obsolètes. Les entreprises et les organisations doivent donc être vigilantes et mettre en place des mesures de sécurité pour se protéger contre ces types d’attaques.
