D’après le New York Times, les accusations du gouvernement des États-Unis contre la firme de sécurité russe reposent sur des informations fournies par des hackers du renseignement israélien. Lors d'une intrusion en 2014 dans les systèmes de Kaspersky, ces derniers auraient découvert que les Russes utilisaient Kaspersky pour surveiller des ordinateurs dans le monde entier à la recherche de documents top secret ou classifiés. C’est cette opération russe qui aurait permis de voler des outils de piratage du gouvernement américain, lesquels étaient stockés sur l’ordinateur personnel d’un agent de la NSA qui utilisait Kaspersky. Les hackers du gouvernement israélien ont ensuite fourni à leurs homologues de la NSA « des preuves solides de la campagne du Kremlin sous forme de captures d'écran et d'autres documents », selon les sources du New York Times.
Le géant russe a bien évidemment nié toute connaissance ou implication dans le piratage russe et demandé toute information pertinente et vérifiable qui permettrait à l'entreprise d'ouvrir une enquête dès que possible. Si la firme de sécurité ne peut compter sur la collaboration du gouvernement américain pour élucider l’affaire, Kaspersky Lab a mené de son côté une enquête sur les faits avancés.
Ce mercredi, la firme basée à Moscou a déclaré dans un communiqué que les résultats d'une enquête préliminaire ont permis de reconstituer de manière chronologique ce qui aurait pu se passer. Et ils indiquent que l’agent de la NSA aurait exposé les outils de piratage des USA, en installant un générateur de clés malveillant pour activer une copie piratée de Microsoft Office.
Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.
« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.
Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.
Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.
Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky. « L'un des fichiers détectés par le produit comme de nouvelles variantes du logiciel malveillant Equation APT était une archive 7zip », explique Kaspersky. « L'archive elle-même a été détectée comme malveillante et soumise pour analyse à Kaspersky Lab, où elle a été traitée par l'un des analystes. Lors du traitement, il a été constaté que l'archive contenait plusieurs exemples de programmes malveillants et de code source pour ce qui semblait être un logiciel malveillant de l'Equation Group. »
Après avoir découvert le code source du logiciel malveillant supposé être de l'Equation Group, l'analyste a signalé l'incident au PDG. « Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise. Avant d'ajouter que « l'archive n'a pas été partagée avec des tiers. »
En général, Kaspersky partage les informations sur les menaces de cybersécurité, telles que de nouvelles souches de logiciels espions et d'autres logiciels malveillants, avec ses grands clients et les gouvernements. Cependant, dans ce cas, Kaspersky dit ne pas l'avoir fait ; cela suggère que si des hackers russes ont pu avoir accès aux outils de piratage des États-Unis, ce ne serait pas via le logiciel antivirus du géant russe de la sécurité. « L'enquête n'a révélé aucun autre incident connexe en 2015, 2016 ou 2017. Aucune autre intrusion d’un tiers, en plus de Duqu 2.0, n'a été détectée dans les réseaux de Kaspersky Lab. L'enquête a confirmé que Kaspersky Lab n'a jamais créé d'outil de détection de fichiers non malveillants dans ses produits basés sur des mots-clés tels que "top secret" et "classifié" », ajoute Kaspersky pour se dédouaner.
Ainsi, Kaspersky semble insinuer que n'importe qui aurait pu exploiter le keygen pour se connecter à distance à la machine et voler les informations top secrètes que l'employé de la NSA a ramenées à la maison, plutôt que d'exploiter son antivirus. En emportant chez lui des logiciels espions du gouvernement américain et en installant un keygen malveillant pour activer une copie piratée de Microsoft Office sur son PC, l'agent de la NSA aurait donc exposé des cyberarmes confidentielles à des pirates.
Mise à jour le 17/11/2017 : Kaspersky indique un accès possible de plusieurs tiers au PC contenant les données classifiées
Dans un nouveau rapport, Kaspersky Lab confirme ses premiers résultats dans le cadre de l'enquête sur le possible abus de son produit par les Russes pour voler des données classifiées de la NSA. En d'autres termes, le PC de l'agent de la NSA était infecté par un logiciel malveillant qui aurait permis à des attaquants de voler les données classifiées du renseignement américain. Kaspersky explique que Mokes, le malware en question qui permet d'accéder à un ordinateur à distance, est apparu sur les forums underground russes en 2011. Et c’était bien connu. Les recherches de la firme de sécurité montrent aussi que, de septembre à novembre 2014, les serveurs de commande et de contrôle de ce malware ont été enregistrés au nom d'une entité, apparemment chinoise, appelée « Zhou Lou ».
La firme de cybersécurité a également fourni des informations supplémentaires sur l'analyse de la télémétrie liée à l'incident. Cette télémétrie décrit les activités suspectes enregistrées sur l'ordinateur en question pendant la période de l'incident, qui a eu lieu en 2014. Une analyse plus approfondie de la télémétrie a montré que Mokes n'était peut-être pas le seul logiciel malveillant ayant infecté le PC en question au moment de l'incident. Il y avait en effet d'autres outils d'activation illégaux et keygens qui avaient été détectés sur la même machine. Sur la période de deux mois, le produit a signalé 121 éléments de logiciels malveillants n'ayant rien à voir avec l'Equation. Il s'agit notamment de backdoors, exploits, chevaux de Troie et AdWare.
Dans un nouveau rapport, Kaspersky Lab confirme ses premiers résultats dans le cadre de l'enquête sur le possible abus de son produit par les Russes pour voler des données classifiées de la NSA. En d'autres termes, le PC de l'agent de la NSA était infecté par un logiciel malveillant qui aurait permis à des attaquants de voler les données classifiées du renseignement américain. Kaspersky explique que Mokes, le malware en question qui permet d'accéder à un ordinateur à distance, est apparu sur les forums underground russes en 2011. Et c’était bien connu. Les recherches de la firme de sécurité montrent aussi que, de septembre à novembre 2014, les serveurs de commande et de contrôle de ce malware ont été enregistrés au nom d'une entité, apparemment chinoise, appelée « Zhou Lou ».
La firme de cybersécurité a également fourni des informations supplémentaires sur l'analyse de la télémétrie liée à l'incident. Cette télémétrie décrit les activités suspectes enregistrées sur l'ordinateur en question pendant la période de l'incident, qui a eu lieu en 2014. Une analyse plus approfondie de la télémétrie a montré que Mokes n'était peut-être pas le seul logiciel malveillant ayant infecté le PC en question au moment de l'incident. Il y avait en effet d'autres outils d'activation illégaux et keygens qui avaient été détectés sur la même machine. Sur la période de deux mois, le produit a signalé 121 éléments de logiciels malveillants n'ayant rien à voir avec l'Equation. Il s'agit notamment de backdoors, exploits, chevaux de Troie et AdWare.
Et vous ?
Qu’en pensez-vous ?