Résultats préliminaires de l’enquête interne sur les incidents présumés reportés par les médias des États-Unis (mis à jour avec des nouveaux résultats)
FAQ
— Sur quoi est-ce que cette enquête portait ?
— En octobre 2017, plusieurs organes de presses des États-Unis ont décrit un incident incluant Kaspersky Security Network et des données classées de la NSA supposément soutirées en 2015. Nous avons décidé de vérifier tout cela soigneusement.
— Avez-vous trouvé des informations sur cet incident ?
— Non, nous n’avons rien trouvé à propos d’un incident en 2015. Cependant, il y a eu un incident qui ressemble à ce dont ont parlé les médias récemment en 2014.
— Qu’est-ce qui s’est passé exactement ?
— Notre produit a détecté le malware Equation connu sur le système d’un utilisateur. Ensuite, sur le même système, il a également détecté une porte dérobée ne faisant pas partie d’Equation, générée par une copie piratée de Microsoft Office, et un dossier 7-Zip qui contenait des échantillons d’un malware inconnu jusqu’à présent. Après avoir détecté ces éléments, notre produit a envoyé le dossier à nos chercheurs anti-virus pour qu’ils l’analysent. Il s’est avéré que le dossier contenait du code source de malware qui semblait être lié au groupe Equation et plusieurs documents Word avec des marquages de classement.
— De quel type de porte dérobée s’agissait-il ?
— Il s’agissait de la porte dérobée Mokes également connue sous le nom de » Smoke Bot » ou » Smoke Loader « . Ce qui est intéressant, c’est que ce malware était en vente sur des forums illégaux russes depuis 2011. Il vaut également la peine de mentionner que les serveurs de contrôle et de commande de ce malware étaient enregistrés au nom d’une entité (supposément) chinoise du nom de » Zhou Lou » de septembre à novembre 2014.
— Est-ce que c’est le seul malware qui a infecté le PC en question ?
— C’est difficile à dire : notre produit a été désactivé sur le système pendant une période assez significative. Cependant, nous pouvons dire que pendant que notre produit était activé, il a signalé 121 alarmes de différents types de malwares différents d’Equation : portes dérobées, exploits, chevaux de Troie et adwares. Il semble donc que ce PC soit devenu une cible populaire pour les malwares.
— Est-ce que votre logiciel a recherché intentionnellement ce type de dossier en utilisant des mots-clés comme » top secret » ou » classé « , par exemple ?
— Non, ce n’est pas le cas. Le dossier malveillant a été détecté automatiquement par nos technologies de protection proactives.
— Avez-vous partagé ce dossier et/ou les fichiers qu’il contenait à une tierce partie ?
– Non, nous n’avons pas fait cela. De plus, nous avons immédiatement supprimé le dossier sur ordre de notre PDG.
— Pourquoi avez-vous supprimé les fichiers ?
— Parce que nous n’avons pas besoin de code source, et encore moins de documents Word supposément classés pour améliorer notre protection. Les fichiers compilés (binaires) suffisants pour cela ; ce sont ces fichiers et seulement ces fichiers qui restent dans notre stockage.
— Avez-vous trouvé des preuves que votre réseau d’entreprise était compromis ?
— À part l’incident Duqu 2.0, que nous avons reporté quand il a eu lieu, non, ce n’est pas le cas.
— Êtes-vous prêt à partager vos données avec une tierce partie indépendante ?
— Oui, nous sommes prêts à fournir toutes les données pour un audit indépendant. Vous pouvez trouver plus de détails techniques dans ce rapport sur Securelist.
Résultats complets
En octobre 2017, Kaspersky Lab a lancé un examen détaillé de nos registres télémétriques en rapport avec les incidents présumés de 2015 décrits dans les médias. Nous ne connaissons qu’un seul incident qui a eu lieu en 2014 pendant une enquête APT quand nos sous-systèmes de détection ont localisé quelque chose qui ressemblait à des fichiers de code source du malware Equation et ont décidé de vérifier s’il y avait des incidents similaires. En outre, nous avons décidé d’enquêter s’il y avait eu des intrusions de tierces parties dans nos systèmes en plus de Duqu 2.0 au moment de l’incident supposé de 2015.
Nous avons réalisé une enquête approfondie liée au cas de 2014 et les résultats préliminaires de l’enquête ont révélé ce qui suit :
- Pendant l’enquête sur l’APT (Advanced Persistent Threat – Menace persistance avancée), nous avons observé des infections à travers le monde entier dans plus de 40 pays.
- Certaines de ces infections ont été observées aux USA.
- En suivant la procédure normale, Kaspersky a informé les institutions gouvernementales pertinentes des États-Unis des infections APT actives aux USA.
- L’une des infections aux USA était composée de ce qui semblait être de nouvelles variantes déboguées et inconnues de malwares utilisés par le groupe Equation.
- L’incident où les nouveaux échantillons d’Equation ont été détectés utilisait notre ligne de produits pour utilisateurs domestiques avec KSN activé et envoi d’échantillon automatique de malwares nouveaux et inconnus activé.
- La première détection du malware Equation dans cet incident a eu lieu le 11 septembre 2014. L’échantillon suivant a été détecté.
- ◦ 44006165AABF2C39063A419BC73D790D
- ◦ dll
- Verdict : HEUR :Trojan.Win32.GrayFish.gen
- Suite à ces détections, l’utilisateur semble avoir téléchargé et installé des logiciels piratés sur ses appareils comme l’indique un générateur de clé d’activation illégal de Microsoft Office (md5 : a82c0575f214bdc7c8ef5a06116cd2a4 — pour la couverture de détection, voir ce lien VirusTotal) qui se sont avérés être infectés par le malware. Les produits Kaspersky Lab ont détecté le malware avec le verdict Mokes.hvl.
- Le malware a été détecté dans un dossier appelé » Office-2013-PPVL-x64-en-US-Oct2013.iso « . Cela suggère une image ISO montée dans le système en tant que dossier/pilote virtuel.
- La détection pour Backdoor.Win32.Mokes.hvl (le faux générateur de clés) est disponible dans les produits Kaspersky Lab depuis 2013.
- La première détection du générateur de clés malveillant (faux) sur cet appareil a eu lieu le 4 octobre 2014.
- Pour installer et exécuter ce générateur de clés, l’utilisateur semble avoir désactivé les produits Kaspersky sur son appareil. Notre télémétrie ne nous permet pas de dire quand l’antivirus a été désactivé, mais le fait que le malware de générateur de clés a été détecté plus tard comme en exécution dans le système suggère que l’antivirus a été désactivé ou n’était pas en fonctionnement quand le générateur de clés a été exécuté. Exécuter le générateur de clé n’aurait pas été possible si l’antivirus avait été activé.
- L’utilisateur a été infecté par ce malware pendant une période non spécifiée pendant que le produit était inactif. Le malware déposé par le générateur de clé à cheval de Troie était une porte dérobée complète qui peut avoir permis à des tierces parties d’accéder à l’appareil de l’utilisateur.
- Plus tard l’utilisateur a réactivé l’antivirus et le produit a détecté convenablement ce malware (verdict : « Mokes.hvl« ) et bloqué son exécution.
- Dans le cadre de l’enquête actuelle, les chercheurs de Kaspersky Lab ont examiné de plus près cette porte dérobée et d’autres données télémétriques sans rapport avec Equation et liées à la menace envoyées depuis l’ordinateur. On sait que la porte dérobée Mokes (aussi appelée » Smoke Bot » ou » Smoke Loader « ) est apparue sur les forums illégaux russes ; elle peut être achetée depuis 2011. Les recherches de Kaspersky Lab montrent que, de septembre à novembre 2014, les serveurs de commande et de contrôle de ce malware étaient enregistrés au nom d’une entité supposément chinoise appelée » Zhou Lou « . On peut trouver l’analyse de la porte dérobée Mokes ici.
- Sur une période de deux mois, le produit installé sur le système en question a signalé des alertes sur 121 éléments de malware autres qu’Equation : portes dérobées, exploits, chevaux de Troie et adwares. Le montant limité de données télémétriques disponibles nous permet de confirmer que notre produit a détecté les menaces ; cependant, il est impossible de déterminer si elles ont été exécutées pendant la période où le produit était désactivé. Kaspersky Lab continue à rechercher d’autres échantillons malveillants et les résultats ultérieurs seront publiés dès que l’analyse sera terminée.
- Après avoir été infecté par le malware » Mokes.hvl « , l’utilisateur a scanné l’ordinateur plusieurs fois, ce qui a causé des détections de variantes nouvelles et inconnues du malware APT Equation.
- La dernière détection sur cet appareil a eu lieu le 17 novembre 2014.
- L’un des fichiers détectés par le produit en tant que nouvelle variante du malware Equation APT était un dossier 7Zip.
- Le dossier lui-même a été considéré malveillant et soumis à Kaspersky Lab pour son analyse où il a été traité par l’un des analystes. Lors de son traitement, nous avons trouvé le dossier contenant de multiples échantillons de malware et du code source de ce qui semblait être le malware Equation, et quatre documents Word avec des marquages de classement.
- Après avoir découvert le code source suspecté du malware Equation, l’analyste a signalé l’incident au PDG. Suite à une requête du PDG, ce dossier a été effacé de tous nos systèmes. Le dossier n’a pas été partagé avec des tierces parties.
- En raison de cet incident, une nouvelle politique a été créée pour les analystes de malwares : ils doivent maintenant supprimer tout matériel potentiellement classé collecté pendant les recherches anti-malwares.
- La raison pour laquelle Kasperky Lab a supprimé ces fichiers et supprimera les fichiers similaires à l’avenir est double : tout d’abord, nous n’avons besoin que des fichiers binaires du malware pour améliorer la protection et, ensuite, nous ne voulons pas manipuler de matériel potentiellement classé.
- Aucune autre détection n’a été reçue de cet utilisateur en 2015.
- Suite à notre annonce d’Equation en février 2015, plusieurs autres utilisateurs avec KSN activé sont apparus dans la même gamme IP que la détection originale. Ils semblent avoir été configurés en tant que » honeypots « , chaque ordinateur comprenant plusieurs échantillons liés à Equation. Aucun échantillon inhabituel (non exécutable) n’a été détecté et envoyé depuis ces » honeypots » et aucune détection n’a été traitée de manière spéciale.
- L’investigation n’a pas révélé d’autres incidents en 2015, 2016 ou 2017.
- Aucune autre intrusion de tierces parties, hormis Duqu 2.0, n’a été détectée dans les réseaux de Kaspersky Lab.
- L’enquête a confirmé que Kaspersky Lab n’a jamais créé de détection de documents non-armés (non-malicieux) dans ses produits basés sur des mots clés comme » top secret » et » classé « .
Nous croyons que les éléments ci-dessus sont une analyse précise de cet incident de 2014. L’enquête est encore en cours et la société fournira des informations techniques supplémentaires quand celles-ci seront disponibles. Nous prévoyons de partager toutes les informations sur cet incident, y compris toutes les données techniques, avec une tierce partie de confiance dans le cadre de notre Global Transparency Initiative pour procéder à une vérification croisée.
Cet article a été mis à jour le 27 octobre 2017 pour inclure les datations et la FAQ, et le 16 novembre 2017 pour inclure les nouveaux éléments découverts.
Vous pourrez trouver plus de détails techniques dans ce rapport publié sur Securelist.