La société de sécurité Kaspersky a déclaré avoir obtenu des documents classifiés de la NSA … mais pas délibérément

Par

le

Kaspersky a publié un nouveau rapport qui repousse les accusations selon lesquelles elle a aidé à la fuite des données sensibles de la NSA et suggère qu’une porte dérobée trouvée sur la machine d’un collaborateur aurait pu permettre à d’autres de prendre des fichiers de sa machine.

Kaspersky Lab a publié son rapport réfutant des allégations selon lesquelles son logiciel anti-virus aurait été utilisé pour pirater l’ordinateur d’un collaborateur de la National Security Agency (NSA) des États-Unis pour exfiltrer des documents NSA et des outils malveillants.

Selon le rapport, la télémétrie de Kaspersky indique que non seulement le collaborateur de la NSA a utilisé des logiciels piratés, activés par des générateurs de clés malveillants lorsqu’il a désactivé Kaspersky Anti-Virus, mais qu’il avait plus de 120 autres formes de malwares sur son PC.

Ces malwares incluaient plusieurs types de chevaux de Troie et de rootkits, suggérant que le PC avait été complètement compromis.

Le rapport survient après que des allégations ont été publiées au début du mois dernier dans le Wall Street Journal affirmant que le logiciel de la société russe de cybersécurité était utilisé pour télécharger des données confidentielles à partir de l’ordinateur personnel d’un agent américain.

Des rumeurs ont ensuite circulé accusant l’entreprise russe de prendre délibérément des fichiers du PC, en utilisant son logiciel anti-virus pour identifier les PC des personnes qui pourraient intéresser les services secrets russes, et ensuite l’utiliser pour exfiltrer les données et les fichiers.

Kaspersky, cependant, a affirmé que son logiciel fonctionne comme n’importe quel autre logiciel anti-virus, identifiant des fichiers potentiellement malveillants et envoyant uniquement des menaces potentielles non identifiées à la base qui ont été récupérées par les moteurs de détection du logiciel.

Dans le cas du collaborateur de la NSA, l’entreprise a prétendu que le logiciel identifiait certains malwares de la NSA qu’il avait ramenés à la maison comme potentiellement malveillants et que son exfiltration faisait simplement partie de son fonctionnement normal.

Les chercheurs de l’entreprise ont confirmé que les cybercriminels russes avaient installé des logiciels sur l’ordinateur de la victime pour accéder et voler des données sensibles, mais le volume de logiciels malveillants détectés sur le PC du contractant a conclu que l’entrepreneur était responsable.

L’outil logiciel Kaspersky Anti-Virus a identifié un fichier ISO Microsoft Office compromis, ainsi qu’un outil d’activation Microsoft Office 2013.

L’utilisateur n’a pu installer la copie pirate d’Office 2013 qu’après avoir désactivé le logiciel anti-virus. S’il avait été laissé sur le PC, il aurait identifié et bloqué le logiciel piraté malveillant.

Le générateur de clés, quant à lui, a été laissé sur le PC alors que le logiciel Kaspersky était inactif. Le logiciel malveillant a permis à d’autres tiers d’accéder théoriquement à la machine de l’utilisateur pendant que le logiciel anti-virus était désactivé.

Cependant, lorsque le logiciel anti-virus de l’entreprise a été réactivé, il a détecté le logiciel malveillant et l’a identifié comme étant Backdoor.Win32.Mokes.hvl et l’a empêché de contacter son site de commande et de contrôle.

Les chercheurs de Kaspersky ont déclaré que le logiciel anti-virus détectait également d’autres variantes du malware Equation APT. Des variantes ainsi qu’une archive compressée 7zip, ont été envoyées au laboratoire antivirus de Kaspersky pour analyse. Les chercheurs ont découvert qu’il contenait du code source et des documents confidentiels, et l’affaire a été transmise au PDG de la société, Eugene Kaspersky, qui a ordonné que les fichiers soient retirés des serveurs de Kaspersky.

«La raison pour laquelle Kaspersky Lab a supprimé ces fichiers et en supprimera deux à l’avenir est double: premièrement, nous n’avons besoin que de logiciels malveillants pour améliorer la protection et, deuxièmement, il a des inquiétudes concernant le traitement de documents potentiellement confidentiels», note l’entreprise dans son rapport.

En poursuivant: «À cause de cet incident, une nouvelle politique a été créée pour tous les analystes de malwares: il est désormais obligatoire de supprimer tout matériel potentiellement classé qui a été accidentellement collecté lors de la recherche anti-malware. »

« Pour soutenir davantage l’objectivité de l’enquête interne, nous l’avons utilisé en faisant appel à de multiples analystes y compris des non-russe et travaillant à l’extérieur de la Russie pour éviter même des accusations potentielles d’influence. »

Parlant d’autres découvertes, la société a déclaré que l’une des premières découvertes majeures de l’enquête était que le PC en question était infecté par le malware backdoor Mokes, fournissant aux utilisateurs malveillants un accès distant au PC.

« Dans le cadre de l’enquête, les chercheurs de Kaspersky Lab ont examiné de plus près cette porte dérobée et d’autres télémétries liées aux menaces non liées à l’équation envoyées depuis l’ordinateur »
, a affirmé le rapport.


Articles recommandés