Archives par mot-clé : Kremlin

Cyber-attaque, Cybersécurité, Entreprise, Piratage

Turla et Gamaredon, la collaboration inédite de deux APT russes

Deux cybergroupes affiliés au Kremlin ont été repérés collaborant en Ukraine, une première documentée par des chercheurs.

Pour la première fois, des chercheurs en cybersécurité observe une coopération directe entre Turla et Gamaredon, deux APT russes habituellement distincts. Selon les chercheurs, Gamaredon infecte massivement les machines en Ukraine tandis que Turla sélectionne ensuite les cibles d’intérêt, souvent riches en informations stratégiques. Cette combinaison illustre une coordination cyber offensive pilotée par le renseignement russe, avec des implications majeures pour la sécurité numérique européenne et militaire.

Une alliance inédite repérée en Ukraine

L’éditeur de solution de sécurité informatique ESET a découvert que des appareils de grande valeur en Ukraine présentaient des traces simultanées de malwares issus de Turla et Gamaredon. Dans plusieurs cas, Turla a exploité des machines déjà compromises par Gamaredon. Les chercheurs notent que cette synergie n’est pas fortuite : tous deux travaillent probablement sous l’égide du FSB, l’agence de renseignement russe.

Gamaredon est réputé pour ses attaques massives et peu discrètes. Son objectif consiste à aspirer rapidement un maximum de données sans s’embarrasser de techniques d’effacement. Turla, à l’inverse, est considéré comme l’un des groupes APT les plus sophistiqués au monde. Lié à des attaques contre le Pentagone en 2008, le ministère allemand des Affaires étrangères et l’armée française, il privilégie des cibles réduites mais hautement sensibles, en utilisant notamment l’internet par satellite pour brouiller son origine.

Des rôles complémentaires dans l’espionnage numérique

L’analyse montre que Turla a pu envoyer des commandes à des machines compromises grâce aux accès ouverts par Gamaredon. Ce scénario confirme une chaîne de collaboration où Gamaredon sert de porte d’entrée large et bruyante, tandis que Turla exploite ensuite une sélection restreinte de machines stratégiques. Cette répartition des tâches pourrait accroître l’efficacité globale des opérations du FSB dans la guerre cyber en cours contre l’Ukraine.

La stratégie de Turla repose sur la furtivité et le ciblage fin. Celle de Gamaredon repose sur la prolifération rapide et l’effet de masse. Ensemble, elles permettent à Moscou de combiner collecte massive et exploitation chirurgicale des données sensibles, un schéma rarement observé dans le cyberespace.

Il s’agit de la première preuve tangible d’une coopération directe entre les deux groupes. Ce constat éclaire un mode opératoire plus coordonné des opérations cyber russes. Les chercheurs estiment que Gamaredon compromet des centaines, voire des milliers, d’appareils en Ukraine, tandis que Turla ne s’intéresse qu’aux systèmes contenant des informations critiques.

Une telle collaboration pourrait transformer le rapport de force cyber, en rendant plus difficile la détection et la neutralisation de ces attaques. Pour l’Ukraine et ses alliés, l’enjeu devient d’identifier les passerelles créées par Gamaredon et exploitées par Turla avant qu’elles ne servent à des intrusions à haute valeur stratégique.

Cette alliance tactique entre Turla et Gamaredon illustre une industrialisation du renseignement cyber orchestrée par Moscou. La question centrale reste : jusqu’où cette coopération pourra-t-elle étendre la portée et l’efficacité des opérations russes contre les infrastructures ukrainiennes et occidentales ? (ESET Research)