Kaspersky découvre un malware-espion de la CIA “indétectable” qui sévit depuis 2014
Kaspersky annonce dans son dernier rapport trimestriel la découverte d’un malware-espion attribué à la CIA. Baptisé “Purple Lambert” ce malware est resté sous le radar pendant des années les chercheurs estiment qu’il est activement exploité depuis 2015, voire même 2014. Ce logiciel espion très sophistiqué permet d’exécuter du code arbitraire. Il ne contient pas de payload par défaut et accepte des commandes de manière passive ce qui explique les difficultés à le déceler.
La firme de sécurité russe Kaspersky annonce dans son dernier rapport APT Trends du premier trimestre 2021 la découverte d’un nouveau malware attribué à la CIA. Baptisé en interne “Purple Lambert” le logiciel espion faisait partie d’une collection d’échantillons reçus par diverses firmes d’antivirus en février 2019. Il était initialement totalement passé inaperçu des chercheurs de Kaspersky, mais ses équipes se sont récemment rendu compte de similitudes entre le code du malware et celui d’autres logiciels-espion produits par la CIA.
Il y a quatre ans, on apprenait grâce à une fuite sur Wikileaks l’existence du programme Vault7 de la CIA. Il s’agit d’un ensemble de mesures prises par l’agence pour espionner massivement les smartphones et ordinateurs du monde entier dont une série de malware spécialisés. Avec la découverte des premiers backdoors de la CIA, Kaspersky a commencé à parler de “malwares de la famille Lambert” pour désigner ces programmes. Depuis, le terme est resté : dès que Kaspersky découvre qu’un malware est attribué à la CIA, il écope d’un nom composé d’une couleur + le mot Lambert.
Kaspersky découvre un nouveau malware dormant de la CIA
Selon ses métadonnées Purple Lambert a été compilé en 2014. Kaspersky estime donc qu’il est resté indétecté par les antivirus depuis au moins 2015, voire, vraisemblablement 2014. Le malware semble conçu spécifiquement pour ne pas éveiller les soupçons. Les commandes du malware sont écoutées passivement et reposent sur des “paquets magiques” tout à fait banals. Ils sont du même type que les paquets WoL pour sortir les ordinateurs d’un réseau de leur veille en même temps, avec une petite commande dans Cmd.
Kaspersky explique : “Purple Lambert est composé de plusieurs modules, dont un module réseau qui attend passivement de recevoir un paquet magique. Il est capable de transmettre à un attaquant des infos basiques sur le système infecté et peut exécuter les payloads qu’il reçoit. Ces fonctionnalités nous rappellent Gray Lambert, un autre type de programme à commande passive. Gray Lambert s’est avéré être un remplacement de […] White Lambert impliqué dans de multiples incidents. Par ailleurs, Purple Lambert compte des fonctionnalités similaires bien qu’implémentées d’autres manières à Gray Lambert et White Lambert“.
La découverte de ce nouveau malware est en soit un petit événement. Depuis les scandales dévoilés par Wikileaks, les découvertes de malwares attribués à des agences de renseignement américaines se font rares. Non pas que le développement de ce type de programmes se soit arrêté les malwares produits par les agences de renseignement américaines semblent plutôt opter pour une sophistication accrue, histoire de ne pas déclencher d’alertes. Ainsi depuis Vault7 seuls 3 malwares attribués à des agences de renseignement américaines ont été découverts.
Il y a eu notamment un malware ciblant les routeurs internet découvert en mars 2018 il semblait viser surtout des théatres d’opérations de lutte contre l’Etat Islamique au moyen Orient. En 2019 ESET a également découvert un autre malware de la même famille. Plus récemment en mars 2020 Qihoo 360 a exposé un nouveau malware, tout en révélant comment les services de renseignements américains ont ciblé le secteur de l’aviation civile chinois pendant 11 ans. On ne sait pas très bien quelles sont les implications de cette annonce à ce stade. Kaspersky ne confirme pas, par exemple, dans son communiqué, si la prochaine version de l’antivirus pourra détecter et supprimer Purple Lambert.
Le rapport trimestriel de Kaspersky n’est d’ailleurs pas du tout dédié à cette découverte. La firme antivirus estime en effet que les plus grosses menaces du premier trimestre 2021 étaient plutôt le piratage de SolarWinds avec la découverte de nombreuses failles 0-day dans les produits SolarWinds, les vulnérabilités des serveurs Microsoft Exchange, activement exploitées par des pirates ou encore la campagne du groupe de pirates Lazarus qui cible des chercheurs en sécurité en piratant leur ordinateur au moyen de failles 0-day des navigateurs internet. Une attaque qui semble avoir pour objectif de voler des informations sur des failles de sécurité exploitables.