Quelques commentaires sur le traitement de l'information par Silicon.fr :
Le groupe de cybercriminels Turla [...]
Je ne sais pas quel stéréotype précis ils essayent de véhiculer, mais à ce niveau de sophistication (ce qu'on désigne par le buzzword "APT") c'est à 99 % du malware créés par des gouvernements. (C'est d'ailleurs ce qu'a suggéré ouvertement G-DATA dans son
communiqué et son
analyse de la plateforme concernée (fév. 2014)).
Kaspersky fait exprès de donner des petits noms à ses équipes de dev. de malwares pour éviter de désigner trop directement certaines instances supputées, mais cet article donne l'impression que journaliste "un-peu-simplet" de Silicon.fr l'a pris au pied de la lettre.
Vivons heureux, vivons cachés ! Tel est le credo des cybercriminels qui développent des APT
Sans blague ?
les cybercriminels du groupe Turla ont trouvé une méthode originale pour masquer leurs méfaits
Je crois que c'est une phrase très simpliste qui résume mal la globalité de l'action. Il faut voir quels sont les "méfaits" du "groupe de cybercriminels" précisèment visés ici : ce n'est en aucun cas la compromission de la cible, ce n'est que la remontée des informations. Ensuite, la non-remontée physique à la première machine de destination est un enjeu bien différent de l'anonymat global (""""masquer"""") et on manque clairement de discernement ici. Cela prête déjà à la confusion.
Les pirates de Turla jouent à cache-cache grâce aux satellites
On passe l'infantilisation...
Ils s’appuient pour cela sur des faiblesses de sécurité de la communication par satellites.
Je crois qu'on enjolive un peu trop le non-chiffrement des informations (aka "la présence de rien"). L'idée de "faiblesses de sécurité" implique quelque chose comme une faille ou une vraie erreur de conception 'inconsciente', au moins dans un système censé promettre quelque chose...
A travers le trafic descendant des satellites, il récupère une adresse IP d’un utilisateur, envoie des données depuis cette adresse à des PC pour les infecter puis pilote les malwares ainsi déployés sans que l’utilisateur s’en rende compte (cf schéma ci-dessous).
Là c'est le plus gros instant de délire de l'article. Non le rookit Uroburos (pas Uburos) n'est pas un mal qui se transmet par les airs comme la peste noire, ce n'est que l'agent
déjà présent sur la machine cible qui fait remonter les informations qu'il a sélectionnées.
La seule voie retour mentionnée par l'article d'origine de Kaspersky est au passage l'envoi d'un paquet type "SYN ACK" via une adresse spoofée, il ne s'attarde pas vraiment sur la globalité du protocole de communication.
Un coût et une simplicité qui étonne le spécialiste, habitué à la complexité des techniques du groupe de cybercriminels.
Nut nut nut, ce n'est pas ce qu'il a dit. Il n'a pas dit que c'était réellement plus simple par rapport aux modes opératoires habituels (heureusement !), juste que dans ces conditions il était étonné de ne pas voir plus d'utilisation faîte de cette technique.
Voilà, pour être juste si j'ai bien compté on a déjà une majorité de mots qui ne sont pas du bullshit, ce qui n'est pas un si mauvais score.