**Secret Blizzard**, connu pour ses recoupements avec des groupes tels que **Turla**, **Uroburos** et **Venomous Bear**, est soupçonné d'être associé aux services de renseignement russes (FSB). Le groupe est tristement célèbre pour cibler des entités gouvernementales et diplomatiques, des organisations liées à la défense et des infrastructures critiques en Europe, en Asie et en Ukraine. **Kazuar** est documenté depuis 2017, avec une lignée de code remontant à 2005. Ses activités ont été liées au groupe d'espionnage **Turla**, également suspecté de travailler pour le FSB. Le malware a été observé précédemment dans des attaques ciblant des organisations gouvernementales européennes en 2020 et l'Ukraine en 2023. ### Nouvelle Architecture de Kazuar Les chercheurs de **Microsoft** ont analysé une variante récente de **Kazuar**, révélant une conception modulaire comprenant trois composants distincts : Kernel, Bridge et Worker. * **Module Kernel**: Sert de coordinateur central, gérant les tâches, contrôlant les autres modules, élisant un nœud leader et orchestrant la communication et le flux de données au sein du botnet. * **Module Bridge**: Agit comme le proxy de communication externe, relayant le trafic entre le leader Kernel élu et l'infrastructure de commande et de contrôle (C2) distante. Ce module prend en charge des protocoles tels que HTTP, WebSockets et Exchange Web Services (EWS). * **Module Worker**: Exécute les opérations d'espionnage réelles, y compris la journalisation des frappes au clavier, la capture d'écran, la collecte de données à partir du système de fichiers, la reconnaissance système et réseau, la collecte de données d'e-mails/MAPI (y compris les téléchargements **Outlook**), la surveillance des fenêtres et l'exfiltration de fichiers récents. Le processus d'élection du leader est interne et autonome, basé sur des métriques telles que le temps de fonctionnement, la fréquence des redémarrages et le nombre d'interruptions. Les systèmes non leaders fonctionnent en mode "silencieux", évitant la communication directe avec le serveur C2 pour améliorer la furtivité et réduire la surface d'attaque. "Le leader Kernel est le module Kernel élu qui communique avec le module Bridge au nom des autres modules Kernel, réduisant la visibilité en évitant de gros volumes de trafic externe provenant de plusieurs hôtes infectés", explique **Microsoft**.  *Diagramme des communications internes de Kazuar (Source : Microsoft)* Les communications internes s'appuient sur des mécanismes de communication inter-processus (IPC), notamment Windows Messaging, Mailslots et des pipes nommés, se fondant dans l'activité normale du système. Les messages sont chiffrés AES et sérialisés à l'aide de Google Protocol Buffers (Protobuf).  *Types d'informations système collectées par Kazuar (Source : Microsoft)* **Microsoft** souligne la flexibilité de **Kazuar**, notant qu'il prend désormais en charge plus de 150 options de configuration. Ces options permettent aux opérateurs d'activer/désactiver des contournements de sécurité spécifiques, de planifier des tâches, de contrôler le moment du vol de données et la taille des blocs d'exfiltration, d'effectuer l'injection de processus et de gérer l'exécution des tâches et des commandes. Les capacités de contournement de sécurité incluent désormais le contournement de l'Antimalware Scan Interface (**AMSI**), le contournement d'Event Tracing for Windows (**ETW**) et le contournement de Windows Lockdown Policy (**WLDP**). ### Stratégies d'Atténuation **Secret Blizzard** vise généralement une persistance à long terme sur les systèmes compromis pour faciliter la collecte continue de renseignements, en se concentrant sur les documents et le contenu des e-mails d'importance politique. **Microsoft** conseille aux organisations de privilégier les méthodes de détection comportementale plutôt que les signatures statiques, compte tenu de l'architecture modulaire et de la nature hautement configurable de **Kazuar**, qui le rend exceptionnellement insaisissable.