{"id":1395,"date":"2021-04-30T17:54:28","date_gmt":"2021-04-30T15:54:28","guid":{"rendered":"https:\/\/parlonstechs.com\/all\/?p=1395"},"modified":"2021-04-30T17:54:29","modified_gmt":"2021-04-30T15:54:29","slug":"kaspersky-pense-avoir-trouve-un-nouveau-logiciel-malveillant-developpe-par-la-cia","status":"publish","type":"post","link":"https:\/\/parlonstechs.com\/all\/2021\/04\/30\/kaspersky-pense-avoir-trouve-un-nouveau-logiciel-malveillant-developpe-par-la-cia\/","title":{"rendered":"Kaspersky pense avoir trouv\u00e9 un nouveau logiciel malveillant d\u00e9velopp\u00e9 par la CIA"},"content":{"rendered":"\n
\"Anubis<\/figure>\n\n\n\n

La CIA, comme plusieurs autres agences f\u00e9d\u00e9rales et gouvernementales de renseignement aux \u00c9tats-Unis et ailleurs dans le monde, est parfois accus\u00e9e de faire usage de logiciels malveillants pour infiltrer les syst\u00e8mes, y installer des portes d\u00e9rob\u00e9es et r\u00e9colter des informations. Plusieurs ann\u00e9es sont pass\u00e9es depuis la fuite\u00a0Vault7, qui a expos\u00e9 les capacit\u00e9s de piratage et de surveillance \u00e9lectronique de la CIA, mais elle semble n’\u00eatre pas rest\u00e9e inactive tout ce temps. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Kaspersky a d\u00e9clar\u00e9 cette semaine avoir d\u00e9couvert un nouveau logiciel malveillant qui semble avoir \u00e9t\u00e9 d\u00e9velopp\u00e9 par l’agence f\u00e9d\u00e9rale am\u00e9ricaine.<\/strong><\/p>\n\n\n\n

Kaspersky\u00a0affirme avoir d\u00e9couvert le logiciel malveillant en analysant \u00ab\u00a0une collection d’\u00e9chantillons de logiciels malveillants\u00a0\u00bb que ses analystes et d’autres entreprises de cybers\u00e9curit\u00e9 ont re\u00e7ue en f\u00e9vrier 2019. Et, alors qu’une premi\u00e8re analyse n’a pas trouv\u00e9 de code partag\u00e9 avec des \u00e9chantillons de logiciels malveillants d\u00e9j\u00e0 connus, les chercheurs en cybers\u00e9curit\u00e9 de Kaspersky ont r\u00e9cemment r\u00e9analys\u00e9 les fichiers et disent maintenant avoir constat\u00e9 que les \u00e9chantillons pr\u00e9sentent des intersections de mod\u00e8les de codage, de style et de techniques qui ont \u00e9t\u00e9 vus dans diverses familles de Lambert.<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Lamberts est le nom de code interne que Kaspersky utilise pour suivre les op\u00e9rations de piratage de la CIA. En effet, dans son rapport trimestriel sur les menaces APT (Advanced Persistent Threat) publi\u00e9 mercredi, Kaspersky a fait savoir que la collection d’\u00e9chantillons qu’il a re\u00e7ue en 2019 est compos\u00e9e d’\u00e9chantillons, dont la plupart \u00e9taient associ\u00e9s \u00e0 divers groupes APT connus. Pour rappel, les groupes APT essaient de faire main basse sur des donn\u00e9es, perturber les op\u00e9rations ou m\u00eame saboter les infrastructures de leurs cibles. Ces attaques ressemblent \u00e0 celles provenant de n’importe quel autre attaquant.<\/p>\n\n\n\n

Mais \u00e0 la diff\u00e9rence de la plupart des cybercriminels, les auteurs d’attaques APT poursuivent un travail de longue haleine, sur plusieurs mois voire plusieurs ann\u00e9es. Ils s’adaptent aux cyberd\u00e9fenses qui leur font face et s’en prennent souvent plusieurs fois \u00e0 une m\u00eame victime. Les \u00e9chantillons analys\u00e9s par Kaspersky auraient \u00e9t\u00e9 compil\u00e9s en 2014 et, par cons\u00e9quent, auraient probablement \u00e9t\u00e9 d\u00e9ploy\u00e9s en 2014 et peut-\u00eatre m\u00eame en 2015. Kaspersky n’a pas trouv\u00e9 de preuve de leur utilisation, mais estime qu’ils sont similaires \u00e0 des outils \u00e9labor\u00e9s par la CIA.<\/p>\n\n\n\n

\u00ab Bien que nous n’ayons pas trouv\u00e9 de code partag\u00e9 avec d’autres logiciels malveillants connus, les \u00e9chantillons pr\u00e9sentent des intersections de mod\u00e8les de codage, de style et de techniques qui ont \u00e9t\u00e9 observ\u00e9s dans diverses familles Lambert \u00bb, a d\u00e9clar\u00e9 Kaspersky. Il a ainsi nomm\u00e9 ce logiciel malveillant Purple Lambert. Selon la soci\u00e9t\u00e9 d’antivirus, Purple Lambert est compos\u00e9 de plusieurs modules, dont le module r\u00e9seau qui \u00e9coute passivement un paquet magique. Il serait capable de fournir \u00e0 un attaquant des informations de base sur le syst\u00e8me infect\u00e9 et d’ex\u00e9cuter une charge utile re\u00e7ue.<\/p>\n\n\n\n

\u00ab Sa fonctionnalit\u00e9 nous rappelle celle de Gray Lambert, un autre \u00e9couteur passif en mode utilisateur \u00bb, a d\u00e9clar\u00e9 Kaspersky. Selon lui, Gray Lambert s’est av\u00e9r\u00e9 \u00eatre un remplacement de l’implant White Lambert, un \u00e9couteur passif en mode noyau, dans de multiples incidents. Purple Lambert mettrait en \u0153uvre des fonctionnalit\u00e9s similaires, mais de mani\u00e8re diff\u00e9rente, \u00e0 Gray Lambert et White Lambert. Le rapport sur les menaces APT de Kaspersky comprend une discussion sur la charge utile d’\u00e9coute passive et la fonctionnalit\u00e9 de chargeur incluse dans le module principal.<\/p>\n\n\n\n

Par ailleurs, il y a quatre ans, apr\u00e8s que WikiLeaks a expos\u00e9 au public les capacit\u00e9s de piratage de la CIA dans une s\u00e9rie de fuites connues sous le nom de\u00a0Vault7, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 am\u00e9ricaine Symantec a publiquement \u00e9tabli un lien entre les outils de piratage de Vault7 et la CIA et l’APT Longhorn (autre nom de l’industrie pour les Lamberts). \u00c0 l’exception des fuites du groupe de pirates\u00a0Shadow Brokers\u00a0et de Vault7, les informations sur les op\u00e9rations de cyberespionnage et les outils de piratage am\u00e9ricains seraient extr\u00eamement rares dans le domaine de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

Selon les experts, depuis la fuite Vault7, il n’y a eu que trois rapports sur des logiciels malveillants et des op\u00e9rations de piratage de fabrication am\u00e9ricaine. Le premier serait le rapport Slingshot de Kaspersky de mars 2018 qui exposait une op\u00e9ration de collecte de renseignements du US Cyber Command visant les militants ISIS au Moyen-Orient. Le deuxi\u00e8me serait un rapport de novembre 2019 de la soci\u00e9t\u00e9 slovaque d’antivirus ESET qui exposait DePriMon, une autre souche de logiciels malveillants li\u00e9e \u00e0 la famille d’outils de la CIA, Lamberts. Le troisi\u00e8me serait le rapport publi\u00e9 en mars 2020 par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 chinoise Qihoo 360.<\/p>\n\n\n\n

Ce rapport a r\u00e9v\u00e9l\u00e9 une op\u00e9ration de piratage que la CIA aurait men\u00e9e pendant 11 ans et visant le secteur de l’aviation civile chinoise. Voici les principales tendances observ\u00e9es par Kaspersky au premier trimestre 2021 :<\/p>\n\n\n\n