Vol des outils de la NSA : Kaspersky confirme ses résultats préliminaires
Et indique un accès possible de plusieurs tiers au PC contenant les données

Le , par Michael Guilloux, Chroniqueur Actualités
26/10/2017 : Au début de ce mois, le Wall Street Journal a rapporté que des hackers russes auraient exploité le logiciel antivirus Kaspersky pour dérober des informations sur les outils de piratage de la NSA. Quelques jours plus tard, c’est le New York Times qui a suivi en révélant comment cela se serait passé.

D’après le New York Times, les accusations du gouvernement des États-Unis contre la firme de sécurité russe reposent sur des informations fournies par des hackers du renseignement israélien. Lors d'une intrusion en 2014 dans les systèmes de Kaspersky, ces derniers auraient découvert que les Russes utilisaient Kaspersky pour surveiller des ordinateurs dans le monde entier à la recherche de documents top secret ou classifiés. C’est cette opération russe qui aurait permis de voler des outils de piratage du gouvernement américain, lesquels étaient stockés sur l’ordinateur personnel d’un agent de la NSA qui utilisait Kaspersky. Les hackers du gouvernement israélien ont ensuite fourni à leurs homologues de la NSA « des preuves solides de la campagne du Kremlin sous forme de captures d'écran et d'autres documents », selon les sources du New York Times.

Le géant russe a bien évidemment nié toute connaissance ou implication dans le piratage russe et demandé toute information pertinente et vérifiable qui permettrait à l'entreprise d'ouvrir une enquête dès que possible. Si la firme de sécurité ne peut compter sur la collaboration du gouvernement américain pour élucider l’affaire, Kaspersky Lab a mené de son côté une enquête sur les faits avancés.

Ce mercredi, la firme basée à Moscou a déclaré dans un communiqué que les résultats d'une enquête préliminaire ont permis de reconstituer de manière chronologique ce qui aurait pu se passer. Et ils indiquent que l’agent de la NSA aurait exposé les outils de piratage des USA, en installant un générateur de clés malveillant pour activer une copie piratée de Microsoft Office.

Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.

Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky. « L'un des fichiers détectés par le produit comme de nouvelles variantes du logiciel malveillant Equation APT était une archive 7zip », explique Kaspersky. « L'archive elle-même a été détectée comme malveillante et soumise pour analyse à Kaspersky Lab, où elle a été traitée par l'un des analystes. Lors du traitement, il a été constaté que l'archive contenait plusieurs exemples de programmes malveillants et de code source pour ce qui semblait être un logiciel malveillant de l'Equation Group. »

Après avoir découvert le code source du logiciel malveillant supposé être de l'Equation Group, l'analyste a signalé l'incident au PDG. « Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise. Avant d'ajouter que « l'archive n'a pas été partagée avec des tiers. »

En général, Kaspersky partage les informations sur les menaces de cybersécurité, telles que de nouvelles souches de logiciels espions et d'autres logiciels malveillants, avec ses grands clients et les gouvernements. Cependant, dans ce cas, Kaspersky dit ne pas l'avoir fait ; cela suggère que si des hackers russes ont pu avoir accès aux outils de piratage des États-Unis, ce ne serait pas via le logiciel antivirus du géant russe de la sécurité. « L'enquête n'a révélé aucun autre incident connexe en 2015, 2016 ou 2017. Aucune autre intrusion d’un tiers, en plus de Duqu 2.0, n'a été détectée dans les réseaux de Kaspersky Lab. L'enquête a confirmé que Kaspersky Lab n'a jamais créé d'outil de détection de fichiers non malveillants dans ses produits basés sur des mots-clés tels que "top secret" et "classifié" », ajoute Kaspersky pour se dédouaner.

Ainsi, Kaspersky semble insinuer que n'importe qui aurait pu exploiter le keygen pour se connecter à distance à la machine et voler les informations top secrètes que l'employé de la NSA a ramenées à la maison, plutôt que d'exploiter son antivirus. En emportant chez lui des logiciels espions du gouvernement américain et en installant un keygen malveillant pour activer une copie piratée de Microsoft Office sur son PC, l'agent de la NSA aurait donc exposé des cyberarmes confidentielles à des pirates.

Mise à jour le 17/11/2017 : Kaspersky indique un accès possible de plusieurs tiers au PC contenant les données classifiées

Dans un nouveau rapport, Kaspersky Lab confirme ses premiers résultats dans le cadre de l'enquête sur le possible abus de son produit par les Russes pour voler des données classifiées de la NSA. En d'autres termes, le PC de l'agent de la NSA était infecté par un logiciel malveillant qui aurait permis à des attaquants de voler les données classifiées du renseignement américain. Kaspersky explique que Mokes, le malware en question qui permet d'accéder à un ordinateur à distance, est apparu sur les forums underground russes en 2011. Et c’était bien connu. Les recherches de la firme de sécurité montrent aussi que, de septembre à novembre 2014, les serveurs de commande et de contrôle de ce malware ont été enregistrés au nom d'une entité, apparemment chinoise, appelée « Zhou Lou ».

La firme de cybersécurité a également fourni des informations supplémentaires sur l'analyse de la télémétrie liée à l'incident. Cette télémétrie décrit les activités suspectes enregistrées sur l'ordinateur en question pendant la période de l'incident, qui a eu lieu en 2014. Une analyse plus approfondie de la télémétrie a montré que Mokes n'était peut-être pas le seul logiciel malveillant ayant infecté le PC en question au moment de l'incident. Il y avait en effet d'autres outils d'activation illégaux et keygens qui avaient été détectés sur la même machine. Sur la période de deux mois, le produit a signalé 121 éléments de logiciels malveillants n'ayant rien à voir avec l'Equation. Il s'agit notamment de backdoors, exploits, chevaux de Troie et AdWare.
Sources : Résultats préliminaires, Nouveau rapport Kaspersky

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 26/10/2017 à 13:44
Citation Envoyé par AndMax Voir le message
Donc tu penses qu'il est légitime qu'un éditeur de logiciels surveille ses utilisateurs (ici avec le motif que ce sont des "hackers" ?
Non en mais en fait c'est pas ça qui c'est passé.
L'anti virus a trouver des fichiers infecté, ils ont été uploadé chez Kaspersky et voilà !

Mais dans l'absolu c'est mieux de surveiller les fichiers infecté d'un groupe de hacker, que les fichiers infecté d'un type normal.
Par exemple si Avast avait sortie un remède contre les ramsonware directement au début, parce qu'ils espionnaient les hackers, tout le monde aurait trouvé ça super cool.

C'est mieux expliqué là :
Citation Envoyé par Michael Guilloux Voir le message
Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 26/10/2017 à 15:06
Donc en fait la faute revient au bureau voisin qui fait les keygens?

A part ça, comment ils font tous pour savoir ce qui s'est passé sur l'ordi d'un gars à l'autre bout de la planète, il y a 4 ans?
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 26/10/2017 à 15:16
Citation Envoyé par micka132 Voir le message
comment ils font tous pour savoir ce qui s'est passé sur l'ordi d'un gars à l'autre bout de la planète, il y a 4 ans?
Il doit y avoir des logs.
Kaspersky doit avoir une base des fichiers infecté téléchargé avec le noms des infections trouvé.
En redémarrant, l'anti virus a du voir que Microsoft Office avait changé de clé.
C'est possible.
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 26/10/2017 à 16:17
Rocambolesque, grave rocambolesque

Il y en a un qui veut rejeter sa faute sur l'autre qui ne veut pas dire qu'il en profite. MDR !
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 26/10/2017 à 16:21
Citation Envoyé par Ryu2000 Voir le message
Il doit y avoir des logs.
Kaspersky doit avoir une base des fichiers infecté téléchargé avec le noms des infections trouvé.
Je veux bien avoir des logs avec des informations techniques de la machine, dont l'adresse Mac, mais pour le reste...comment on peut savoir à qui appartient l'ordi? Avec le nom de session? Ca serait pas très sérieux comme analyse!
Avatar de Maybeking Maybeking - Futur Membre du Club https://www.developpez.com
le 26/10/2017 à 17:39
Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky.
« Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise
Hahahaha
Il me font bien rire ces russes !
Comme si un entreprise de sécurité informatique qui tombe sur un nouveau logiciel malveillant inédit allait se dire : "Oh, un nouveau logiciel malveillant ! Hop, on le fout à la poubelle !"

Ils ont perdu toute crédibilité ...
Avatar de AndMax AndMax - Membre confirmé https://www.developpez.com
le 26/10/2017 à 23:05
Citation Envoyé par Ryu2000 Voir le message
Mais dans l'absolu c'est mieux de surveiller les fichiers infecté d'un groupe de hacker, que les fichiers infecté d'un type normal.
Comment un AV peut-il faire la différence entre un "hacker" est un type normal, et quelle est ta définition de hacker ?

Moi je trouve complètement aberrant qu'un propriétaire d'une machine accepte qu'un programme puisse envoyer un fichier à l'autre bout du monde sans son consentement et sans qu'il soit au courant. Là on ne parle donc pas d'un AV mais d'un malware, même s'il y aurait soit-disant des machins qu'on peut cocher pour essayer de croire que l'AV va éventuellement respecter ta vie privée si tu lui demandes. Je pense que les gens qui installent Kaspersky sur leur machine ne peuvent en AUCUN cas être des hackers (sauf s'ils l'ont fait pour décompiler le bouzin).
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 27/10/2017 à 8:19
Citation Envoyé par AndMax Voir le message
Comment un AV peut-il faire la différence entre un "hacker" est un type normal, et quelle est ta définition de hacker ?
Là dans ce cas, ça devait être des personnes qui développaient des malwares.

Citation Envoyé par AndMax Voir le message
Je pense que les gens qui installent Kaspersky sur leur machine ne peuvent en AUCUN cas être des hackers (sauf s'ils l'ont fait pour décompiler le bouzin).
Il faut bien un antivirus et Kaspersky est loin d'être le pire.
Ou alors c'est pour tester que leur malwares sont indétectable par tous les antivirus.

Citation Envoyé par AndMax Voir le message
Moi je trouve complètement aberrant qu'un propriétaire d'une machine accepte qu'un programme puisse envoyer un fichier à l'autre bout du monde sans son consentement et sans qu'il soit au courant.
Ça doit être écrit dans le règlement et tu peux désactiver cette option.
Ça n'upload que des fichiers infectés.
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 27/10/2017 à 10:57
« Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise
Ca pue le mensonge des média.
Kaspersky normalement ne supprime pas les fichiers incréminés, il les bloque et les met en quarantaine dans un folder sécurisé.

Kaspersky dérange car ils sont russes et font un excellent travail de détection de virus (j'ai pas dit malware).
Kaspersky free détecte ~93% des virus, le reste pouvant être détecté par malwarebytes...
Pourquoi leur produit est bien plus cher que Bitdefender et Macafee!
Simplement parce qu'ils sont meilleurs.
Avatar de AndMax AndMax - Membre confirmé https://www.developpez.com
le 27/10/2017 à 21:38
Kaspersky free détecte ~93% des virus
Source ? Puis-je en conclure que TU connais 100% des virus.
Contacter le responsable de la rubrique Accueil