Wikileaks Vault 8 et Kaspersky

[Parisien_entraide]

wikileaks-vault-8-leaks-show-cia-impersonated-kaspersky-lab.jpg

Sources :

https://wikileaks.org/vault8/
https://wikileaks.org/vault8/document/r ... lient_crt/

https://www.developpez.com/actu/172423/ ... -l-agence/

Attention : Ne pas installer les certificats présentés dans les liens !

Le code informatique de la CIA a créé à trois reprises une imitation de certificats de Kaspersky Lab, selon WikiLeaks.

Wikileaks explique que grâce à Hive, la CIA peut communiquer avec ses logiciels espions sans attirer l'attention de l'utilisateur. Une nécessité si l'opération doit rester secrète. Pour ce faire, Hive permet, entre autres, de copier et falsifier les certificats électroniques d'authentification. Si le logiciel espion est découvert, l'utilisateur ne pourra ainsi pas le relier à l'agence américaine de manière simple et claire.


Un piratage à l'étranger en prenant l'identité de Kaspersky Lab ?

L'une des principales découvertes du Vault 8 est la falsification des certificats de Kaspersky Lab : ça permettait à la CIA d'infecter des ordinateurs à l'étranger tout en faisant retomber la faute sur l'éditeur d'antivirus, en tout cas à première vue. Grâce à cette falsification de certificats, en effet, si la cible analyse le flux de données sortant, elle va attribuer ce flux au logiciel ou l'entreprise dont le certificat a été copié.

Kaspersky Lab, qui a analysé les premières données du Vault 8 de Wikileaks dès leur publication, a confirmé par communiqué de presse que Hive a permis de falsifier ses certificats d'authentification. Plusieurs autres entreprises et entités gouvernementales seraient également concernées.
____________________________________

Wikileaks a annoncé une nouvelle série intitulée Vault 8 qui promet de révéler le code source et d'autres informations sur l'infrastructure Backend développée par l’agence de renseignement américaine.


Le projet Hive :

Ce projet est un serveur de commande et de contrôle avancé communiquant avec des logiciels malveillants pour envoyer des commandes sur des cibles spécifiques et recevoir des informations exfiltrées à partir des ces dernières. D’après Wikileaks, Hive est un système tout-en-un multi-utilisateur qui peut être utilisé par plusieurs opérateurs de la CIA pour contrôler à distance plusieurs logiciels malveillants utilisés dans différentes opérations.

L'infrastructure de Hive a été spécialement conçue pour rester camouflée, révèle Wikileaks.

En effet, l’infrastructure de Hive comprendrait un faux site Web public qui cache en réalité une communication à plusieurs étapes sur un réseau privé virtuel (VPN). D’après l’organisation de Julian Assange, « avec Hive même si un logiciel malveillant est découvert sur un ordinateur cible, il serait difficile de l’attribuer à la CIA en se basant simplement sur la communication du logiciel malveillant avec d'autres serveurs sur Internet. »

Wikileaks démontre avec un schéma à l’appui les moyens déployés par la CIA pour camoufler l’origine de ses logiciels malveillants sur les ordinateurs cibles. En effet, le diagramme montre que les logiciels malveillants de l’agence de renseignement communiquent directement avec un faux site Web, qui est hébergé sur un VPS (Virtual Private Server) commercial, ce qui donne l’impression qu’il s’agit juste d’un site Web comme un autre sur la toile lorsqu’on y accède depuis un navigateur Web.

Cependant, révèle Wikileaks, après l'authentification, le logiciel malveillant peut communiquer en arrière-plan avec le serveur Web hébergeant le faux site Web, pour transmettre ensuite les données ainsi récoltées à un serveur de la CIA appelé « Blot » via une connexion VPN sécurisée. Le serveur Blot transmet ensuite ces données à une passerelle de gestion d'opérateur appelée « Honeycomb ».

hive.png

Afin d'éviter la détection par les administrateurs réseau, les logiciels malveillants utiliseraient de faux certificats numériques pour Kaspersky Lab. WikiLeaks explique que « les certificats numériques pour l'authentification des logiciels malveillants sont générés par usurpation d'identité des entités existantes infiltrées par la CIA ». L’organisation non gouvernementale de Juian Assange ajoute que « les trois exemples inclus dans le code source construisent un faux certificat pour la société Kaspersky Laboratory qui se trouve à Moscou et qui serait prétendument signé par Thawte Premium Server CA à Cape Town. »

Wikileaks vient ainsi de mettre à la disposition du grand public le code source du projet Hive qui est maintenant disponible entre autres pour les journalistes d'investigation et les experts désireux de le télécharger pour explorer ses fonctionnalités. Le code source publié dans la série Vault 8 contient uniquement un logiciel conçu pour fonctionner sur des serveurs contrôlés par la CIA. Cependant, l’organisation garantit qu’elle ne publiera aucune vulnérabilité de sécurité de type zero-day ou similaire pouvant être exploité par d'autres individus mal intentionnés.

[Parisien_entraide]

Du nouveau dans l'affaire Kaspersky :

Rappel pour l'historique :

http://www.lemagit.fr/actualites/450428 ... -resultats
http://www.numerama.com/politique/29689 ... ersky.html
http://www.israelvalley.com/2017/10/14/ ... kaspersky/


Au 17/11/2017 :

https://www.ginjfo.com/actualites/polit ... s-20171117
http://www.01net.com/actualites/kaspers ... 6205.html

La source : https://usa.kaspersky.com/about/press-r ... ource-code

GinFo :

"Dans son rapport, Kaspersky explique qu’une analyse interne révèle tout d’abord que les dates annoncées par les médias sont fausses. L’attaque en question n’aurait pas eu lieu en 2015 mais entre septembre et novembre 2014. En outre, selon Kaspersky, la cyberattaque a réussi à voler le code source de logiciels malveillants exploités par Equation Group. Ceci sous-entend que l’ordinateur visé faisait partie de cette unité spéciale.

En ce qui concerne les logiciels qui ont facilité cette intrusion, Kaspersky affirme que son antivirus n’est pas en cause. Mieux la firme avance une autre hypothèse pour le moins troublante. Ce piratage serait dû à l’utilisation d’un logiciel Microsoft piraté par l’agent de la NSA.

Selon son enquête, l’agent aurait téléchargé et installé une copie piratée de la suite bureautique Microsoft Office 2013 mais pas seulement. Pour pouvoir l’activer, il aurait utilisé une application « génératrice de clés ». Kaspersky Antivirus, qui était en effet installé sur le système, aurait été désactivé manuellement afin de permettre l’activation de la suite bureautique. Pourquoi ? Les générateurs illégaux de clés sont perçus comme des menaces.

Kaspersky précise

« L’outil illégal d’activation contenu dans l’ISO de la suite Microsoft Office a été infecté par des logiciels malveillants. L’utilisateur a été infecté par ce logiciel malveillant pendant une période indéterminée alors que le produit de Kaspersky Lab était inactif. Le malware a mis en place une porte dérobée permettant à d’autres tiers d’accéder à la machine »

L’entreprise dit que son antivirus a détecté le malware dès sa réactivation. Enfin toujours selon Kaspersky, certains fichiers de la NSA se sont retrouvés sur ses serveurs après que le système antivirus ait détecté une archive infectée par le malware. Conformément à sa stratégie antivirus, les fichiers infectés ont été automatiquement téléchargés pour une analyse plus approfondie. Lors de la découverte de ces documents classifiés, Kaspersky affirme avoir supprimé les données et que l’archive » n’a pas été partagée avec des tiers« .
____________________________________

01..net

"L’histoire d’espionnage présumée autour de Kaspersky Lab devient de plus en plus étrange. L’éditeur russe vient de publier un rapport (...) Ce rapport confirme et détaille le rapport préliminaire publié fin octobre. Ainsi, l’éditeur a bien aspiré du code source et quatre documents classifiés sur un ordinateur de la région de Baltimore, mais cela se serait fait purement sur la base d’une détection de fichiers binaires malveillants. A aucun moment, l’éditeur n’aurait détourné son système de signatures pour trouver des documents secrets sur des ordinateurs. Par ailleurs, le code source et les documents classifiés auraient immédiatement été effacés du réseau de Kaspersky Lab. Aucune intrusion d’un tiers n’a par ailleurs été constaté.

Là où le rapport apporte de nouvelles informations, c'est au niveau de l’état de l’ordinateur sur lequel ces données ont été prélevées. D’après le rapport préliminaire, cette machine était infectée par un cheval de Troie (Backdoor.Win32.Mokes.hlv) provenant d’un générateur de clés d’activation pour Microsoft Office. L’enquête interne révèle maintenant que cet ordinateur contenait au moins 120 autres malwares qui n’était pas liés au groupe Equation (autrement dit la NSA). On y trouve, entre autres, trois autres portes dérobées, une vingtaine de chevaux de Troie, un rootkit et une palanquée de publiciels et de downloaders.
Une machine complètement vérolée

D’après le rapport de Kaspersky Lab, l’ordinateur était donc tellement vérolé que l’on a du mal à comprendre comment son propriétaire pouvait prendre le risque d’y stocker des données aussi confidentielles que le code source de logiciels d’espionnage étatique ou des documents classifiés. Compte tenu de ce faible niveau de sécurité, Kaspersky Lab estime que cet utilisateur « a pu divulguer des informations à de nombreux acteurs ». Ce qui paraît quand même étrange dans la mesure où le propriétaire était apparemment un hacker de la NSA, donc quelqu’un qui devait bien connaître ces problématiques.
Ce n’est pas la seule incohérence dans cette affaire.
Selon Kaspersky Lab, les données confidentielles ont été détectées et aspirées en septembre 2014, mais selon les médias américains cette fuite d’information a eu lieu en 2015. On peut donc se demander si l’ordinateur analysé par Kaspersky Lab est bien celui auquel font référence les révélations médiatiques. Malheureusement, les autorités américaines n’ont, jusqu’ici, fait aucun commentaire et n’ont apporté aucune preuve là-dessus. C’est donc parole contre parole.

[Malekal_morte]

Bref il a installé un mauvais KMSpico \o/
Google Trad pour https://www.malekal.com/kmspico-trojan/ et hop

[Parisien_entraide]

Et pour ceux qui trouvent la lecture fastidieuse

https://www.youtube.com/watch?v=KhXzT59BJIA

C'est en FR, et assez bien résumé, avec d'autres pistes complémentaires

[Malekal_morte]

Pendant ce temps là, les USA se donne les moyens juridiques de pouvoir jeter un oeil aux données des sociétés américaines quand bien même, ces données sont hébergées hors des USA : Le Cloud Act américain et conséquence en Europe.