Discussion :

[Christian Olivier]

Kaspersky Lab expose une opération de cyberespionnage pouvant être liée à la Russie
Alors que l'entreprise est accusée d'aider les espions russes

Kaspersky Lab, la société de cybersécurité basée à Moscou a récemment publié un rapport détaillé mettant en lumière une opération de cyberespionnage complexe orchestrée par ce qui semble être un groupe de pirates lié à la Russie. Il est important de signaler que l’éditeur fait rarement de lien entre des groupes de pirates informatiques et des gouvernements particuliers.

Le rapport de Kaspersky donne un aperçu explicite sur la manière dont les auteurs de cette opération de cyberespionnage infectent les ordinateurs et espionnent leurs victimes. Cette recherche a été initiée pour la première fois en février 2017 par l’entreprise de cybersécurité russe, mais ce n’est que récemment que les résultats qui en découlent ont été rendus publics. Les clients privés avaient déjà accès à cette information.

Cette annonce survient dans un contexte de méfiance particulier qui est marqué par la volonté affichée du FBI de dissuader les entreprises privées américaines d’acheter ou de s’appuyer sur des produits Kaspersky pour se protéger contre les attaques informatiques. Le PDG de Kaspersky, Eugene Kaspersky, a réfuté à maintes reprises les allégations selon lesquelles son entreprise serait un pion du Kremlin et les porte-parole de l’entreprise soutiennent que la société ne veut pas et n’espionne pas ses clients pour le compte du gouvernement russe.

Le rapport, rédigé par l’équipe de recherche GReAT de Kaspersky, met en lumière des procédés et des outils de piratage utilisés par les attaquants qui présenteraient des similitudes avec ceux employés par deux groupes de cybercriminels bien connus, Sofacy et Turla. Ces deux groupes supposés proches du gouvernement de Moscou sont considérés comme des menaces persistantes avancées (APT) par les entreprises de cybersécurité américaines CrowdStrike et FireEye. D’après les analyses de Kaspersky Lab, le nouveau groupe identifié se ferait appeler « WhiteBear » et serait probablement une faction appartenant à Turla.

La manière dont WhiteBear gère son infrastructure d’attaque est étrangement similaire au mode opératoire des attaquants de Turla même s’il utilise une méthode de chiffrement assez originale (RSA+3DES+BZIP2). Le schéma permet de se faire une idée de ce processus d'attaque :

« De février à septembre 2016, les activités de WhiteBear étaient focalisées sur les ambassades et les opérations consulaires à travers le monde », a déclaré Kaspersky. « Toutes les premières cibles de WhiteBear étaient liées à des ambassades et à des organisations diplomatiques ou étrangères. Mais à partir de juin 2017, les cibles des activités de cyberespionnage de WhiteBear ont évolué pour commencer à inclure les organisations liées à la défense », a ajouté l'entreprise de cybersécurité.

Sur la base d’une analyse technique de Kaspersky, l’activité récente de WhiteBear semble se rapprocher d’une opération moderne de cyberespionnage axée sur la collecte d’informations auprès des ambassades, des ministères, des entreprises de défense et d’autres organisations gouvernementales en Europe, en Asie et en Amérique du Sud. Elle se serait déroulée pendant au moins un an. Malgré le fait que le vecteur de l’infection n’a pas encore été clairement identifié, l’entreprise russe de cybersécurité estime que les pirates informatiques essayent d’infiltrer et de compromettre les organisations grâce au déploiement d’e-mails ciblés et spécialement conçus pour cette tâche.

Le même jour, la société de cybersécurité ESET a aussi publié ses résultats de recherches sur une opération similaire liée au groupe de pirates informatiques du groupe Turla qui viennent compléter les observations faites par Kaspersky Lab. Les données fournies par ESET mettent l’accent sur la découverte d’un implant de porte dérobée lié à l’activité de WhiteBear déjà mentionné dans le rapport de Kaspersky. Cet implant sophistiqué, nommé Gazer, est difficile à détecter et continue d’être installé sur des systèmes cibles. Les échantillons récents de Gazer ont été trouvés en grande partie sur des systèmes appartenant à des organisations politiques et gouvernementales situées en Europe de l’Est.

« Turla continue d’être l’une des APT les plus prolifiques, les plus anciennes et les plus avancées que nous avons pu observer. Turla continue de faire l’objet d’une grande partie de notre recherche », a confié l’équipe GReAT de Kaspersky.

Les services de renseignement américains dans leur ensemble ne sont pas d’accord avec la façon dont le FBI gère l’affaire Kaspersky. Il existe un consensus aux États-Unis en ce qui concerne l’existence d’une connexion potentielle entre Kaspersky et les services de renseignement russes. Cette relation pourrait éventuellement constituer une menace pour la sécurité du pays pour peu qu’elle soit avérée. Cependant, au pays de l’oncle Sam, on s’accorde moins sur la manière dont le gouvernement devrait agir afin d’atténuer ce risque.


Source : Kaspersky

Et vous ?

Qu'en pensez-vous ?
En suivant la logique du FBI, pensez-vous qu’il soit plus sûr d’utiliser des solutions de cyberdéfense provenant d’entreprises américaines ?

Voir aussi

L'administration Trump retire Kaspersky Lab de ses listes de vendeurs agréés d'équipements technologiques pour les agences gouvernementales US
Kaspersky Lab lance son antivirus gratuit à l'échelle mondiale avec des fonctionnalités de protection basiques

[AndMax]

Encore une attaque qui nécessite un système d'exploitation privateur ("Remotely injects orchestrator code into explorer.exe process memory").

Est-ce qu'on sait si ces failles sont corrigées ?

[john.fender]

Pas un mot pour relativiser en disant que les entreprises américaines peuvent toutes être logées à la même enseigne ?