MENU

Kaspersky quitte les États-Unis

Kaspersky quitte les États-Unis

Actualités économiques |
Par Nick Flaherty



L’éditeur de logiciels de cybersécurité Kaspersky Labs va cesser ses activités aux États-Unis après que le gouvernement américain a pris des sanctions à l’encontre de la société russe.

Les sanctions du gouvernement américain interdisent les ventes et les téléchargements dans le pays à partir de septembre, et les nouvelles activités seront interdites à partir de la fin de ce mois.

L’entreprise emploie une cinquantaine de personnes aux États-Unis.

« Bien qu’il ait proposé un système dans lequel la sécurité des produits Kaspersky aurait pu être vérifiée de manière indépendante par un tiers de confiance, Kaspersky estime que le ministère du commerce a pris sa décision en fonction du climat géopolitique actuel et de préoccupations théoriques, plutôt que sur la base d’une évaluation complète de l’intégrité des produits et services de Kaspersky », a déclaré l’entreprise.

« Kaspersky ne s’engage pas dans des activités qui menacent la sécurité nationale des États-Unis et, en fait, a apporté des contributions significatives avec ses rapports et sa protection contre une variété d’acteurs de menaces qui ont ciblé les intérêts américains et les alliés », a également déclaré la société.

L’entreprise avait fourni des logiciels de sécurité pour les vulnérabilités MITRE dans l’internet des objets (IoT) et des services personnalisés pour les systèmes embarqués ainsi que pour la sécurité des véhicules.

Cependant, il était soumis à des restrictions en Europe depuis 2017, bien avant l’invasion de l’Ukraine qui a déclenché la dernière série de sanctions.

Ironiquement, l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky a découvert un groupe de menaces persistantes avancées (APT) appelé CloudSorcerer qui a ciblé des entités du gouvernement russe.

Malgré ses similitudes avec CloudWizard, également découvert par Kaspersky, CloudSorcerer utilise une base de code et des fonctionnalités uniques, ce qui en fait une cybermenace distincte.

Le groupe utilise des infrastructures de cloud public, notamment Microsoft Graph, Yandex Cloud et Dropbox, comme principaux serveurs de commandement et de contrôle (C2). Le logiciel malveillant interagit avec les serveurs C2 par le biais d’API, en utilisant des jetons d’authentification récupérés à partir d’une page GitHub apparemment légitime.

CloudSorcerer utilise une stratégie d’attaque en plusieurs étapes. Tout d’abord, les attaquants déploient manuellement le logiciel malveillant sur l’ordinateur de la victime. Après avoir obtenu l’accès, CloudSorcerer adapte ses fonctionnalités en fonction du processus qu’il infecte. Par exemple, il peut se comporter différemment lorsqu’il est exécuté dans mspaint.exe par rapport à msiexec.exe.

Pour établir la communication avec son centre de commande et de contrôle (C2), CloudSorcerer récupère des détails, potentiellement un emplacement de stockage dans le nuage, à partir d’une page GitHub. Ces informations sont encodées dans la page elle-même.

Enfin, le logiciel malveillant recueille des informations sur le système et les exfiltre vers le stockage en cloud désigné à l’aide de l’API du service en cloud choisi.

En outre, CloudSorcerer utilise des techniques complexes d’obscurcissement et de chiffrement pour éviter d’être détecté. Il décode les commandes à l’aide d’une table de codes-barres codés en dur et manipule les interfaces des objets Microsoft COM pour exécuter ses opérations malveillantes.

« Le déploiement de CloudSorcerer met en évidence une utilisation sophistiquée des services de cloud public à des fins d’espionnage, illustrant la manière dont les acteurs de la menace exploitent ces plateformes pour dissimuler leurs activités. En intégrant des services cloud légitimes dans leurs opérations, ces acteurs améliorent non seulement leur capacité à rester inaperçus, mais tirent également parti de l’infrastructure robuste de ces plateformes pour exécuter efficacement des opérations d’espionnage complexes. Notre analyse en cours souligne l’importance de reconnaître et d’atténuer ces tactiques furtives dans les stratégies de cybersécurité des gouvernements et des entreprises « , a déclaré Sergey Lozhkin, chercheur principal en cybersécurité au GReAT de Kaspersky.

www.kaspersky.com

 

Si vous avez apprécié cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à :    ECI sur Google News

Partager:

Articles liés
10s