Certains articles de veille peuvent faire l'objet de traduction automatique.
Depuis que le La révélation de décembre que Des pirates informatiques ont pénétré dans les locaux de la société de logiciels de gestion informatique SolarWindsLa Russie, ainsi qu’un nombre incalculable de ses clients, a été le principal suspect. Mais alors même que les responsables américains ont épinglé l’attaque du Kremlin avec plus ou moins de certitude, aucune preuve technique n’a été publiée pour étayer ces conclusions. Aujourd’hui, la société russe de cybersécurité Kaspersky a révélé les premiers indices vérifiables – trois d’entre eux, en fait – qui semblent relier les pirates de SolarWinds et un groupe de cyberespionnage russe connu.
Lundi matin Kaspersky publié de nouvelles preuves des similitudes techniques entre les logiciels malveillants utilisés par les mystérieux pirates de SolarWinds, connus sous des noms de l’industrie de la sécurité tels que UNC2452 et Dark Halo, et le groupe de pirates bien connu Turla, dont on pense qu’il est d’origine russe et qui est également connu sous les noms d’Ours Venimeux et de Serpent. Le groupe est largement soupçonné de travailler sur au nom du FSBLe KGB, successeur du KGB en Russie, a mené des décennies de piratage informatique à des fins d’espionnage. Les chercheurs de Kaspersky ont clairement indiqué qu’ils ne revendiquaient pas l’UNC2452 est Turla ; en fait, ils ont des raisons de croire que les hackers de SolarWinds et Turla ne sont pas une seule et même personne. Mais ils affirment que leurs conclusions suggèrent qu’un groupe de pirates informatiques a au moins « inspiré » l’autre, et qu’ils peuvent avoir des membres communs entre eux ou un développeur de logiciels partagé qui crée leurs logiciels malveillants.
Les chercheurs de Kaspersky ont trouvé trois similitudes entre un programme de porte dérobée UNC2452 connu sous le nom de SunBurst et un malware Turla vieux de cinq ans connu sous le nom de Kazuar, qui était découvert pour la première fois par des chercheurs en sécurité de Palo Alto Networks en 2017. Le chef de l’équipe de recherche et d’analyse globale de Kaspersky, Costin Raiu, note que les trois similitudes entre les outils des pirates ne sont pas des morceaux de code identiques, mais plutôt des techniques révélatrices que les deux ont incorporées. Cela rend la connexion encore plus significative, affirme Raiu. « Ce n’est pas un copier-coller. C’est plutôt comme si j’étais un programmeur et que j’écrivais des outils, et qu’on me demandait d’écrire quelque chose de similaire, je l’écrirais avec la même philosophie », dit Raiu. « C’est plutôt de l’écriture manuscrite. Cette écriture ou ce style se propage à différents projets écrits par la même personne ».
Depuis que la brèche de SolarWinds a été découverte, Kaspersky dit qu’il a passé au peigne fin ses archives de logiciels malveillants pour trouver des connexions. Ce n’est qu’après des semaines d’examen des échantillons de logiciels malveillants que l’un de ses chercheurs, Georgy Kucherin, 18 ans, a pu trouver les connexions avec Kazuar, qui avaient été cachées par les techniques utilisées par Turla pour obscurcir son code. Kucherin a maintenant découvert que Kazuar et Sunburst utilisaient tous deux une technique cryptographique très similaire dans leur code : plus précisément, un algorithme de hachage de 64 bits appelé FNV-1a, avec une étape supplémentaire appelée XOR pour modifier les données. Les deux logiciels malveillants utilisaient également le même processus cryptographique pour générer des identifiants uniques permettant de suivre les différentes victimes, en l’occurrence une fonction de hachage MD5 suivie d’une étape XOR.
Enfin, les deux échantillons de logiciels malveillants ont utilisé la même fonction mathématique pour déterminer un « temps de sommeil » aléatoire avant que le logiciel malveillant ne communique à nouveau avec un serveur de contrôle des commandes afin d’échapper à la détection. Ces délais pouvaient aller jusqu’à deux semaines pour Sunburst et jusqu’à quatre semaines pour Kazuar, des délais inhabituellement longs qui indiquent un niveau similaire de patience et de furtivité intégré dans les outils.
Ensemble, ces trois correspondances dans les fonctionnalités des logiciels malveillants représentent probablement plus qu’une coïncidence, déclare Raiu de Kaspersky. « L’une de ces trois similitudes, si on la prend isolément, n’est pas si rare », dit-il. « Deux de ces similarités, ça n’arrive pas tous les jours. Trois, c’est vraiment une découverte intéressante ».
Plus que simplement « intéressantes », ces connexions représentent une « grande découverte », déclare Dmitri Alperovitch, le cofondateur et ancien directeur technique de la société de sécurité CrowdStrike. « Cela confirme l’attribution au moins aux services de renseignement russes », déclare M. Alperovitch.
Poster un commentaire