Dans un domaine aussi sensible que celui de la cybercriminalité, l'un des challenges préférés des attaquants est de réussir à camoufler ses traces. Voir de faire porter le chapeau à d'autres. C'est ce qui semble s'être passé entre les groupes de hackers russes de Turla et les iraniens d'Oilrig, d'après un rapport émis conjointement par les agences de sécurité gouvernementales américaines (NSA) et anglaise (NCSC). Les pirates de Turla seraient ainsi parvenus à hacker les systèmes informatiques d'Oilrig et lui voler de précieux outils de piratage Neuron et Nautilus pour réaliser à son insu des cyberattaques. « Les outils Neuron et Nautilus étaient très probablement d'origine iranienne. Ceux derrière Neuron ou Nautilus n'étaient très certainement pas au courant, ni complices de l’utilisation de leurs implants par Turla », indique le rapport.
Neuron et Nautilus sont des outils malveillants utilisés par des groupes de hackers pour cibler des serveurs de messagerie et des serveurs Web sur des plateformes Microsoft Windows. Toujours selon le rapport, le groupe de pirates Turla a utilisé ces deux outils malveillants avec le rootkit Snake pour cibler les organisations gouvernementales, militaires, technologiques, énergétiques et commerciales, dans 35 pays dont le Royaume-Uni et les États-Unis.
Des capacités pour identifier tous les cyberpirates à terme
« Snake fournit une plateforme pour voler des données sensibles, servir de passerelle pour les opérations de réseau interne et est utilisé pour mener des attaques continues contre d'autres organisations. Ils infectent de nombreux systèmes au sein de réseaux cibles et déploient une gamme variée d'outils pour assurer leur maintien dans le système de la victime même après que le vecteur d’infection initial a été atténué », peut-on lire dans le document.
« Identifier les responsables d'attaques peut être très difficile, malgré le poids des preuves montrant que le groupe Turla est derrière cette campagne. Nous voulons envoyer un message clair : même si les cyber-acteurs cherchent à masquer leur identité, nos capacités les identifieront à terme », a par ailleurs prévenu Paul Chichester, directeur des opérations du NCSC.