Le ministère des Armées, à Paris. ( AFP / THOMAS SAMSON )
Parmi ses faits d'armes identifiés contre la France, Turla a notamment compromis certains comptes de messageries du ministère des Armées.
Un groupe d'attaquants "mondialement connu", et redouté. Parmi les activités cybercriminelles attribuées à la Russie par les Européens figurent celles de Turla, un outil utilisé par le FSB pour de l'espionnage au long cours de services gouvernementaux plutôt que des opérations spectaculaires et brutales.
Turla est le nom donné à un ensemble de capacités offensives (un "mode opératoire d'attaque", MOA) utilisées lors d'opérations d'espionnage informatique attribuées au FSB, l'un des principaux services de sécurité russes. "Turla est considéré comme le groupe russe le plus techniquement avancé, le plus compétent", résume à l'AFP une source sécuritaire française. Il fait partie "des groupes d'attaquants mondialement connus, affilié d'après les différentes communautés cyber au FSB russe, spécialisé dans l'espionnage de différentes infrastructures gouvernementales. Ils ont fait des victimes dans une cinquantaine de pays", explique à l'AFP Halim Bourtala consultant en réponse aux incidents (CERT) pour l'entreprise de cybersécurité Group Squad.
Turla "a une longévité exceptionnelle puisqu'il remonte à 2004. Il se concentre sur de l'espionnage discret et n'essaie pas de nuire ou casser, c'est pour cela qu'il est généralement repéré tardivement", abonde Kris Vanhulst, Responsable technique en cybersecurité opérationnelle chez Group Squad. Turla se distingue d'autres acteurs russes bien connus, comme Sandworm, attribué au renseignement militaire (GRU). Là où Turla privilégie l'espionnage discret, Sandworm est associé à des opérations de sabotage parfois spectaculaires, tel NotPetya en 2017.
Collecter des renseignements sur l'Ukraine et ses alliés
"Depuis le début de la guerre d'agression déclenchée par la Russie contre l'Ukraine le 24 février 2022, le MOA Turla est utilisé pour participer à l'effort de guerre russe à travers la collecte de renseignements sur l'Ukraine et ses alliés", affirment dans un communiqué les autorités françaises mobilisées contre la menace cyber, dont l'Anssi (Agence nationale de la sécurité des systèmes d'information). Parmi ses faits d'armes identifiés contre la France, Turla a compromis certains comptes de messageries du ministère des Armées, ou le réseau de l'ambassade de France à Moscou. "En février 2025, un institut de recherche sur les technologies sensibles travaillant pour l'industrie de défense française a également été visé (...), conduisant à l'exfiltration d'un volume significatif de données", a ajouté ce lundi le ministère français des Affaires étrangères.
Les équipes chargées de cibler la France sont regroupées dans l'unité 61240 du 16e centre du FSB, installée près de Krasnoïe Selo, non loin de Saint-Pétersbourg, selon les autorités françaises. Parmi les techniques qui ont contribué à sa réputation figure l'utilisation d'infrastructures et d'outils précédemment associés à des groupes iraniens, une approche destinée à masquer l'attribution de ses opérations et à compliquer le travail des enquêteurs, rappelle Halim Bourtala. Par ailleurs, "ils ont acheté et exploité des connexions satellite pour ne pas être tracés depuis des datacenter classiques", explique Kris Vanhulst.
Turla s'est aussi fait connaître après le "tollé de l'attaque du département de la défense américain en 2008, au moyen d'une clé USB. Ils ont réussi à pénétrer le système et à y rester longtemps. (L'opération) a eu eu beaucoup de répercussions puisqu'elle a entraîné la création de l'US Cybercommand", le commandement militaire chargé de coordonner la lutte cyber aux Etats-Unis.
3 commentaires
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer