US Cyber Command (US Cyber Command) a
annoncé une initiative inhabituelle. Il promet de télécharger régulièrement des échantillons de "logiciels malveillants déclassifiés" dans la base de données VirusTotal.
Il est facile de deviner que nous parlons de cyber-armes utilisées par les services de renseignement étrangers dans les opérations en cours (des unités de cyber-renseignement opèrent dans tous les pays dotés de services de renseignement développés, y compris en Russie). En d'autres termes, le renseignement américain va mettre les outils de l'ennemi à la disposition du public. Après l'apparition de VirusTotal dans les bases de données publiques, ces outils tomberont dans toutes les bases de données antivirus et deviendront essentiellement inefficaces.
«Cela ressemble à un exemple d'une nouvelle stratégie américaine visant à poursuivre activement les acteurs étatiques étrangers. En publiant des logiciels malveillants, les États-Unis les forcent à rechercher et à exploiter en permanence de nouvelles vulnérabilités », a
commenté le célèbre spécialiste de la sécurité et cryptographe Bruce Schneier.
L'US Cyber Command va agir aussi publiquement que possible, informant largement le public sur les logiciels malveillants des opposants. Un nouveau compte Twitter
USCYBERCOM Malware Alert a été ouvert spécialement pour les messages concernant de nouveaux échantillons de logiciels malveillants qui ont été envoyés à la base de données VirusTotal.
À ce jour, deux échantillons y ont été envoyés.
Bien entendu, les services spéciaux ne déclassifient les outils de l'ennemi qu'après qu'ils ne sont plus intéressés à garder leur secret, c'est-à-dire après des mesures de contre-espionnage appropriées et la collecte d'informations sur les acteurs étrangers, leurs objectifs, leurs méthodes de travail, etc. Après cela, les outils étrangers sont déclassifiés et fusionnés dans la base de données VirusTotal.
Les premières images de ces programmes ont été publiées par la Cyber National Mission Force (CNMF), qui est subordonnée au US Cyber Command. Il est intéressant de noter que l'ouverture d'un compte Twitter et la publication d'échantillons ne s'est pas accompagnée de l'annonce habituelle d'une nouvelle initiative pour les institutions publiques,
la publication ThreatPost, spécialisée dans la sécurité de l'information,
note . Cela a été fait sans avertissement.
"Reconnaissant la valeur de la collaboration avec le secteur public, le CNMF a lancé des efforts pour partager des échantillons de logiciels malveillants déclassifiés, qui, à notre avis, auront le plus grand impact sur l'amélioration de la cybersécurité mondiale", a
déclaré un bref
communiqué du CNMF.
Les deux premiers exemples déclassifiés sont les
fichiers rpcnetp.dll et
rpcnetp.exe . Ces compte-gouttes sont également utilisés pour la porte dérobée du groupe de hackers
Computrace APT28 / Fancy Bear , qui est associée à l'exécution des commandes pour la Fédération de Russie.
«La paire d'échantillons spécifique, Computrace / LoJack / Lojax, est en fait une version trojanisée du logiciel légal LoJack d'une entreprise qui s'appelait auparavant Computrace (maintenant appelée Absolute). La version cheval de Troie du logiciel LoJack légitime s'appelle LoJax ou DoubleAgent », a déclaré un porte-parole de l'agence de renseignement américaine.
La publication de tels échantillons est une étape audacieuse pour le ministère de la Défense, qui a longtemps gardé sa cyberactivité et ses connaissances secrètes, a
commenté un expert indépendant, directeur de la cybersécurité chez Carbon Black: «Il s'agit d'un énorme pas en avant pour la communauté de la cybersécurité. Il permet à la communauté de la cybersécurité de se mobiliser et de répondre aux menaces en temps réel, aidant ainsi le gouvernement à protéger et à assurer la sécurité du cyberespace américain. »
John Hultqvist, directeur de l'analyse du renseignement chez FireEye, a noté que les logiciels malveillants ont été détectés «dans le vide», sans mentionner des opérations de renseignement ennemies spécifiques ou des opérations de contre-espionnage: «Sans aucun doute, ces révélations continueront d'avoir une stratégie, car la divulgation a toujours des conséquences pour les opérations de renseignement, mais leur simplicité peut permettre des actions plus simples et plus rapides avec lesquelles le gouvernement a lutté par le passé », a déclaré Hultqvist. Bien qu'en réalité, le manque de contexte puisse réduire l'efficacité des mesures de protection, car pour construire une défense fiable, il est nécessaire de comprendre clairement comment et à quoi l'ennemi a utilisé ces outils.