Kaspersky Lab enquête sur une attaque de hackers sur son propre réseau

10 Juin 2015

J’ai une bonne et une mauvaise nouvelle.

duqu2_wide

La mauvaise nouvelle

La mauvaise nouvelle, c’est que nous avons découvert une attaque avancée  sur nos réseaux internes. Elle était complexe et furtive, et elle utilisait des vulnérabilités Zero day. Nous sommes à peu près certains qu’un État se cache derrière cette attaque. Nous l’avons baptisée Duqu 2.0. Pourquoi et qu’a-t-elle en commun avec le Duqu original ? Cliquez ici.

La bonne nouvelle

– 1er point : nous avons découvert l’attaque

Tout d’abord, nous avons découvert quelque chose de vraiment énorme ici. En effet, développer et maintenir une telle structure malveillante coûtent extrêmement cher. La pensée qui se cache derrière appartient à une génération en avance par rapport à tout ce que nous avions vu auparavant : elle utilise de nombreuses astuces qui rendent très difficiles la détection et la neutralisation de l’attaque. C’est comme si les personnes responsables de Duqu 2.0 étaient convaincues que leur activité clandestine ne pouvait pas être découverte. Cependant, nous y sommes parvenus – grâce à la version alpha de notre solution anti-APT, conçue pour contrer même les attaques ciblées les plus sophistiquées.

2e point : Nos clients ne courent pas de risque

Le plus important, c’est que ni nos produits, ni nos services n’ont été compromis. Par conséquent, cette brèche ne provoque aucun risque pour nos clients.

Les détails

Les hackers souhaitaient en apprendre plus sur nos  technologies, notamment en ce qui concerne notre système d’exploitation sécurisé, la prévention de la fraude en ligne de Kaspersky, Kaspersky Security Network, la solution anti-APT et nos services. Les criminels voulaient aussi mettre la main sur les recherches en cours et en apprendre sur nos méthodes de détection et nos capacités d’analyse. Étant donné que nous sommes connus pour le succès que nous remportons dans la lutte contre les menaces sophistiquées, ils ont cherché ces informations en essayant d’être discrets. Ils n’y sont pas arrivés.

Une attaque contre nous était un coup risqué : ils ont maintenant perdu une structure très chère et très avancée sur le plan technique, qu’ils avaient développée pendant plusieurs années. En plus, ils ont essayé d’espionner nos  technologies… lesquelles sont accessibles sous des accords de licence (pour le moins, certaines d’entre elles) !

Nous avons découvert que le groupe derrière Duqu 2.0 a également espionné plusieurs cibles importantes, notamment des participants aux négociations internationales sur le programme nucléaire de l’Iran ou à l’événement commémoratif du 70e anniversaire de la libération d’Auschwitz. Bien que l’enquête interne soit toujours en cours, nous sommes sûrs que cette attaque est beaucoup plus vaste et concerne des cibles de haut rang dans divers pays. Je pense qu’il est fort probable qu’après que nous les avons découverts, les personnes derrière l’attaque Duqu 2.0 effacent leur présence des réseaux infectés pour éviter de s’exposer.

Duqu 2.0 a espionné des cibles de haut rang, dont des dignitaires aux négociations sur le programme nucléaire de l’Iran et des participants à la commémoration d’Auschwitz – mais ce n’est que la partie émergée de l’iceberg

En retour, nous allons utiliser cette attaque pour améliorer nos  technologies de défense. Les nouveaux enseignements sont toujours utiles, et c’est encore mieux si des intelligences menaçantes nous aident à développer une meilleure protection. Et, bien sûr, nous avons déjà ajouté la détection de Duqu 2.0 à nos produits. Il n’y a ainsi pas vraiment de mauvaise nouvelle.

Comme nous l’avons dit, notre enquête est toujours en cours. Il nous faudra encore quelques semaines pour découvrir tous les détails du tableau. Cependant, nous avons déjà vérifié que le code source de nos produits est intact. Nous pouvons assurer que nos bases de données de malwares n’ont pas été touchées et que les attaquants n’ont pas eu accès aux données de nos clients.

Vous pouvez alors vous demander pourquoi nous avons révélé cette information ou si nous sommes inquiets que notre réputation  puisse en pâtir.

Eh bien premièrement, ne pas la révéler serait comme ne pas signaler à la police un accident de voiture avec des blessés car cela pourrait vous faire perdre votre bonus d’assurance. De plus, nous connaissons l’anatomie des attaques ciblées assez bien pour comprendre qu’il n’y a aucune honte à publier ce type d’attaque – elles peuvent arriver à n’importe qui. (Souvenez-vous : il existe deux types d’entreprises – celles qui ont été attaquées et celles qui ne savent pas qu’elles sont attaquées). En révélant l’attaque, (i) nous avons envoyé un signal au public et remis en question la validité (et la morale) des soi-disant attaques sponsorisées par des États contre des entreprises privées en général et plus particulièrement, contre les entreprises de sécurité ; (ii) nous partageons nos connaissances avec d’autres entreprises afin de les aider à se protéger. Même si cela  » endommage  » notre réputation, je m’en fiche. Notre mission est de sauver le monde et nous ne pouvons faire aucun compromis.

Qui est derrière l’attaque ? Quelle nation ?

Laissez-moi le répéter à nouveau : nous n’attribuons pas les attaques. Nous sommes des experts en sécurité (les meilleurs) et nous ne voulons pas diluer nos compétences en faisant de la politique. En même temps, en tant que fervent supporter des révélations responsables, nous avons déposé des déclarations auprès des agences d’application de la loi de plusieurs pays afin de lancer des enquêtes criminelles. Nous avons également reporté la vulnérabilité zero-day à Microsoft, qui l’a d’ailleurs récemment corrigée (n’oubliez pas d’installer la dernière mise à jour de Windows).

Je veux juste que tout le monde puisse faire son travail et que le monde devienne meilleur.

Enfin, avant de terminer, j’aimerais également partager une inquiétude très sérieuse.

L’idée que des gouvernements attaquent des entreprises de sécurité des TI  est tout simplement scandaleuse. Nous sommes supposés être du même côté en tant que nations responsables partageant un seul et même objectif : un monde cybernétique sécurisé. Nous partageons notre savoir pour combattre la cybercriminalité et aider les enquêtes à devenir plus efficaces. Nous faisons de nombreuses choses ensembles afin de rendre le monde cybernétique plus sûr. Mais maintenant, nous découvrons que certains membres  de cette  » communauté  » ne respectent pas les lois, l’éthique professionnelle ou le bon sens.

Les personnes qui vivent dans des maisons de verre ne devraient pas jeter de pierres

Pour moi, il s’agit d’une autre preuve que nous avons besoin d’établir des règles acceptées par tous afin de contrôler le cyberespionnage et d’éviter une guerre cybernétique. Si plusieurs groupes malveillants (souvent liés à des gouvernements) traitent l’Internet comme un Grand Ouest sans règles et restent impunis, l’évolution des technologies de l’information à l’échelle mondiale sera sérieusement mise en danger. J’appelle donc encore une fois tous les gouvernements responsables à se rassembler et à se mettre d’accord sur ses règles afin de combattre la cybercriminalité et les malwares au lieu de la sponsoriser ou même de la promouvoir.