La CIA, comme plusieurs autres agences fédérales et gouvernementales de renseignement aux États-Unis et ailleurs dans le monde, est parfois accusée de faire usage de logiciels malveillants pour infiltrer les systèmes, y installer des portes dérobées et récolter des informations. Plusieurs années sont passées depuis la fuite Vault7, qui a exposé les capacités de piratage et de surveillance électronique de la CIA, mais elle semble n’être pas restée inactive tout ce temps. La société de cybersécurité Kaspersky a déclaré cette semaine avoir découvert un nouveau logiciel malveillant qui semble avoir été développé par l’agence fédérale américaine.
Kaspersky affirme avoir découvert le logiciel malveillant en analysant « une collection d’échantillons de logiciels malveillants » que ses analystes et d’autres entreprises de cybersécurité ont reçue en février 2019. Et, alors qu’une première analyse n’a pas trouvé de code partagé avec des échantillons de logiciels malveillants déjà connus, les chercheurs en cybersécurité de Kaspersky ont récemment réanalysé les fichiers et disent maintenant avoir constaté que les échantillons présentent des intersections de modèles de codage, de style et de techniques qui ont été vus dans diverses familles de Lambert.
Lamberts est le nom de code interne que Kaspersky utilise pour suivre les opérations de piratage de la CIA. En effet, dans son rapport trimestriel sur les menaces APT (Advanced Persistent Threat) publié mercredi, Kaspersky a fait savoir que la collection d’échantillons qu’il a reçue en 2019 est composée d’échantillons, dont la plupart étaient associés à divers groupes APT connus. Pour rappel, les groupes APT essaient de faire main basse sur des données, perturber les opérations ou même saboter les infrastructures de leurs cibles. Ces attaques ressemblent à celles provenant de n’importe quel autre attaquant.
Mais à la différence de la plupart des cybercriminels, les auteurs d’attaques APT poursuivent un travail de longue haleine, sur plusieurs mois voire plusieurs années. Ils s’adaptent aux cyberdéfenses qui leur font face et s’en prennent souvent plusieurs fois à une même victime. Les échantillons analysés par Kaspersky auraient été compilés en 2014 et, par conséquent, auraient probablement été déployés en 2014 et peut-être même en 2015. Kaspersky n’a pas trouvé de preuve de leur utilisation, mais estime qu’ils sont similaires à des outils élaborés par la CIA.
« Bien que nous n’ayons pas trouvé de code partagé avec d’autres logiciels malveillants connus, les échantillons présentent des intersections de modèles de codage, de style et de techniques qui ont été observés dans diverses familles Lambert », a déclaré Kaspersky. Il a ainsi nommé ce logiciel malveillant Purple Lambert. Selon la société d’antivirus, Purple Lambert est composé de plusieurs modules, dont le module réseau qui écoute passivement un paquet magique. Il serait capable de fournir à un attaquant des informations de base sur le système infecté et d’exécuter une charge utile reçue.
« Sa fonctionnalité nous rappelle celle de Gray Lambert, un autre écouteur passif en mode utilisateur », a déclaré Kaspersky. Selon lui, Gray Lambert s’est avéré être un remplacement de l’implant White Lambert, un écouteur passif en mode noyau, dans de multiples incidents. Purple Lambert mettrait en œuvre des fonctionnalités similaires, mais de manière différente, à Gray Lambert et White Lambert. Le rapport sur les menaces APT de Kaspersky comprend une discussion sur la charge utile d’écoute passive et la fonctionnalité de chargeur incluse dans le module principal.
Par ailleurs, il y a quatre ans, après que WikiLeaks a exposé au public les capacités de piratage de la CIA dans une série de fuites connues sous le nom de Vault7, la société de sécurité américaine Symantec a publiquement établi un lien entre les outils de piratage de Vault7 et la CIA et l’APT Longhorn (autre nom de l’industrie pour les Lamberts). À l’exception des fuites du groupe de pirates Shadow Brokers et de Vault7, les informations sur les opérations de cyberespionnage et les outils de piratage américains seraient extrêmement rares dans le domaine de la cybersécurité.
Selon les experts, depuis la fuite Vault7, il n’y a eu que trois rapports sur des logiciels malveillants et des opérations de piratage de fabrication américaine. Le premier serait le rapport Slingshot de Kaspersky de mars 2018 qui exposait une opération de collecte de renseignements du US Cyber Command visant les militants ISIS au Moyen-Orient. Le deuxième serait un rapport de novembre 2019 de la société slovaque d’antivirus ESET qui exposait DePriMon, une autre souche de logiciels malveillants liée à la famille d’outils de la CIA, Lamberts. Le troisième serait le rapport publié en mars 2020 par la société de sécurité chinoise Qihoo 360.
Ce rapport a révélé une opération de piratage que la CIA aurait menée pendant 11 ans et visant le secteur de l’aviation civile chinoise. Voici les principales tendances observées par Kaspersky au premier trimestre 2021 :
« Comme toujours, nous tenons à souligner que nos rapports sont le produit de notre visibilité sur le paysage des menaces. Cependant, il faut garder à l’esprit que, même si nous nous efforçons de nous améliorer continuellement, il est toujours possible que d’autres attaques sophistiquées passent sous notre radar », a conclu Kaspersky.
