Moonlight Maze is back … 21 ans plus tard

Posted On 05 Avr 2017

Tag: bot, Krypton, Moonlight Maze, shell, Snake, turla, Uroburos, Venomous Bear

Le code malveillant Moonlight Maze, il avait ciblé le Pentagone et la NASA vers la fin des années 90 refait surface. Il serait lié à une backdoor employée par le spyware Turla, en 2011 et peut-être encore en 2017.

Des études de l’époque sur Moonlight Maze montrent comment, à partir de 1996, des réseaux de l’armée et de l’administration américaine, ainsi que des universités, des établissements de recherche et même le Département de l’Energie (DoE), ont détecté des piratages de leurs systèmes. En 1998, le FBI et le Département de Défense (DoD) avaient lancé une enquête de grande ampleur. Les faits ont été rendus publics en 1999 mais une grande partie des éléments relevés est demeurée classée, laissant les détails de Moonlight Maze entourés de mystère.

Au fil des années, les enquêteurs ont déclaré que Moonlight Maze avait évolué pour devenir Turla, une menace russophone également connue sous les noms de Snake, Uroburos, Venomous Bear et Krypton. Il est communément admis que Turla est en activité depuis 2007.

Les échantillons « du placard »

En 2016, en faisant des recherches pour son ouvrage Rise of the Machines, Thomas Rid du Kings College de Londres a retrouvé un ancien administrateur système. Le serveur de son entreprise, nommé « HRTest », avait été piraté pour être utilisé comme proxy pour le lancement d’attaques Moonlight Maze. Ce professionnel informatique, aujourd’hui retraité, avait conservé le serveur de l’époque ainsi que des copies de tous les éléments relatifs aux attaques, qu’il a transmis au Kings College et à Kaspersky Lab pour une nouvelle analyse.

Les chercheurs de Kaspersky Lab Juan Andres Guerrero-Saade et Costin Raiu, en collaboration avec Thomas Rid et Danny Moore du Kings College, ont procédé durant neuf mois à une analyse technique détaillée de ces échantillons. Ils ont reconstitué les opérations, outils et techniques des auteurs des attaques, menant en parallèle une enquête pour déterminer s’ils pouvaient établir le lien supposé avec Turla.

Moonlight Maze est une attaque programmée en Unix open source et ciblant des systèmes Solaris. Il est apparu que celle-ci exploitait un backdoor reposant sur LOKI2 (un programme publié en 1996, permettant d’extraire des données par des canaux clandestins). Cela a conduit les chercheurs à réexaminer certains échantillons Linux rares utilisés par Turla et découverts par Kaspersky Lab en 2014. Dénommés Penquin Turla, ces échantillons font eux aussi appel à LOKI2. En outre, cette nouvelle analyse a révélé que tous employaient du code créé entre 1999 et 2004.

Étonnamment, ce code est encore utilisé dans des attaques de nos jours. Il a été repéré en circulation en 2011, dans le cadre d’une attaque contre un sous-traitant de la défense, Ruag en Suisse, attribuée à Turla. Par la suite, en mars 2017, les chercheurs de Kaspersky Lab ont découvert un nouvel échantillon du backdoor Penquin Turla, provenant d’un système en Allemagne. Il est possible que Turla emploie du code ancien pour des attaques contre des entités hautement sécurisées, peut-être plus difficiles à atteindre par des outils Windows plus courants.

« A la fin des 90, personne ne prévoyait l’étendue et la persistance d’une campagne coordonnée de cyberespionnage. Nous devons nous demander pourquoi les auteurs des attaques peuvent encore exploiter avec succès du code ancien dans des attaques modernes. L’analyse des échantillons Moonlight Maze n’est pas simplement une fascinante étude archéologique : elle vient également nous rappeler que nos adversaires ne manquent pas de ressources et que nous devons sans cesse nous améliorer pour les combattre et défendre les systèmes informatiques », commente Juan Andres Guerrero-Saade, chercheur senior en sécurité au sein de l’équipe GReAT de Kaspersky Lab.

Les fichiers Moonlight Maze exhumés dernièrement révèlent de nombreux détails fascinants sur le mode de lancement des attaques au moyen d’un réseau complexe de proxies, ainsi que le niveau élevé des compétences et des outils employés par leurs auteurs.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.