Kaspersky découvre un malware-espion de la CIA “indétectable” qui sévit depuis 2014

Kaspersky annonce dans son dernier rapport trimestriel la découverte d'un malware-espion attribué à la CIA. Baptisé “Purple Lambert” ce malware est resté sous le radar pendant des années – les chercheurs estiment qu'il est activement exploité depuis 2015, voire même 2014. Ce logiciel espion très sophistiqué permet d'exécuter du code arbitraire. Il ne contient pas de payload par défaut et accepte des commandes de manière passive ce qui explique les difficultés à le déceler. 

kaspersky

La firme de sécurité russe Kaspersky annonce dans son dernier rapport APT Trends du premier trimestre 2021 la découverte d'un nouveau malware attribué à la CIA. Baptisé en interne “Purple Lambert” le logiciel espion faisait partie d'une collection d'échantillons reçus par diverses firmes d'antivirus en février 2019. Il était initialement totalement passé inaperçu des chercheurs de Kaspersky, mais ses équipes se sont récemment rendu compte de similitudes entre le code du malware et celui d'autres logiciels-espion produits par la CIA.

Il y a quatre ans, on apprenait grâce à une fuite sur Wikileaks l'existence du programme Vault7 de la CIA.  Il s'agit d'un ensemble de mesures prises par l'agence pour espionner massivement les smartphones et ordinateurs du monde entier – dont une série de malware spécialisés. Avec la découverte des premiers backdoors de la CIA, Kaspersky a commencé à parler de “malwares de la famille Lambert” pour désigner ces programmes. Depuis, le terme est resté : dès que Kaspersky découvre qu'un malware est attribué à la CIA, il écope d'un nom composé d'une couleur + le mot Lambert.

Kaspersky découvre un nouveau malware dormant de la CIA

Selon ses métadonnées Purple Lambert a été compilé en 2014. Kaspersky estime donc qu'il est resté indétecté par les antivirus depuis au moins 2015, voire, vraisemblablement 2014. Le malware semble conçu spécifiquement pour ne pas éveiller les soupçons. Les commandes du malware sont écoutées passivement et reposent sur des “paquets magiques” tout à fait banals. Ils sont du même type que les paquets WoL pour sortir les ordinateurs d'un réseau de leur veille en même temps, avec une petite commande dans Cmd.

Kaspersky explique : “Purple Lambert est composé de plusieurs modules, dont un module réseau qui attend passivement de recevoir un paquet magique. Il est capable de transmettre à un attaquant des infos basiques sur le système infecté et peut exécuter les payloads qu'il reçoit. Ces fonctionnalités nous rappellent Gray Lambert, un autre type de programme à commande passive. Gray Lambert s'est avéré être un remplacement de […] White Lambert impliqué dans de multiples incidents. Par ailleurs, Purple Lambert compte des fonctionnalités similaires bien qu'implémentées d'autres manières à Gray Lambert et White Lambert“.

La découverte de ce nouveau malware est en soit un petit événement. Depuis les scandales dévoilés par Wikileaks, les découvertes de malwares attribués à des agences de renseignement américaines se font rares. Non pas que le développement de ce type de programmes se soit arrêté – les malwares produits par les agences de renseignement américaines semblent plutôt opter pour une sophistication accrue, histoire de ne pas déclencher d'alertes. Ainsi depuis Vault7 seuls 3 malwares attribués à des agences de renseignement américaines ont été découverts.

Il y a eu notamment un malware ciblant les routeurs internet découvert en mars 2018 – il semblait viser surtout des théatres d'opérations de lutte contre l'Etat Islamique au moyen Orient. En 2019 ESET a également découvert un autre malware de la même famille. Plus récemment en mars 2020 Qihoo 360 a exposé un nouveau malware, tout en révélant comment les services de renseignements américains ont ciblé le secteur de l'aviation civile chinois pendant 11 ans. On ne sait pas très bien quelles sont les implications de cette annonce à ce stade. Kaspersky ne confirme pas, par exemple, dans son communiqué, si la prochaine version de l'antivirus pourra détecter et supprimer Purple Lambert.

Lire également : Kaspersky va lancer un smartphone “impossible à pirater”

Le rapport trimestriel de Kaspersky n'est d'ailleurs pas du tout dédié à cette découverte. La firme antivirus estime en effet que les plus grosses menaces du premier trimestre 2021 étaient plutôt le piratage de SolarWinds avec la découverte de nombreuses failles 0-day dans les produits SolarWinds, les vulnérabilités des serveurs Microsoft Exchange, activement exploitées par des pirates ou encore la campagne du groupe de pirates Lazarus qui cible des chercheurs en sécurité en piratant leur ordinateur au moyen de failles 0-day des navigateurs internet. Une attaque qui semble avoir pour objectif de voler des informations sur des failles de sécurité exploitables.


Réagissez à cet article !

Demandez nos derniers articles !

Apple Watch Series 12 : ce changement de capteur inédit pourrait tout changer

La prochaine montre connectée d’Apple pourrait révolutionner l’industrie. L’Apple Watch Series 12 pourrait en effet intégrer un nouveau capteur de santé à un emplacement inédit. On vous explique tout. Dans…

Galaxy Watch 9 et Ultra 2 : Samsung préparerait du lourd, les nouveaux cadrans ont fuité

Les prochaines montres connectées de Samsung se dévoilent déjà. Une fuite nous montre ce qui pourrait être les nouveaux cadrans des Galaxy Watch 9 et autres Galaxy Watch Ultra 2…

L’attente de GTA 6 vire à l’obsession, ce couple prend une décision complètement folle

Pour certains fans, la passion pour GTA 6 n’a pas de limite. Un couple a ainsi passé un véritable contrat, qui impose plusieurs règles aux signataires concernant le prochain volet…

Samsung pourrait faire exploser le prix de la RAM, préparez-vous au choc

Coup de tonnerre dans l’industrie de l’électronique. Malgré l’actuelle crise des composants, Samsung aurait décidé d’augmenter une nouvelle fois le prix de ses puces mémoire DRAM. Une décision qui pourrait…

Google Wallet s’améliore sur Wear OS, cette nouveauté va vous simplifier la vie

L’application de paiement de Google s’enrichit. Celle-ci facilite notamment la gestion de vos dépenses effectuées via votre montre connectée Wear OS. Google n’en finit plus d’optimiser sa célèbre application de…

Google Maps va encore plus loin : l’application pourrait commander votre repas à votre place

Google Maps cacherait une fonctionnalité bien pratique pour les amateurs de restaurants. Celle-ci permettrait de grandement faciliter la récupération de vos plats favoris alors même que vous êtes sur la…

Un iPhone pliant se prépare, l’écran du Galaxy S27 se dévoile, c’est le récap’ de la semaine

L’événement d’Apple dévoilera ses futurs smartphones Pro ainsi qu’un premier modèle pliant, la nouvelle console de Valve se retrouve déjà victime de spéculation, Samsung a pris sa décision finale concernant…

Steam Machine : Valve vous permet de fabriquer cet accessoire indispensable

Fabriquer vous-même un accessoire essentiel de la Steam Machine, c’est désormais possible. Valve vient en effet de partager en open source les éléments nécessaires à sa fabrication. Le moins que…

Volkswagen enterre l’ID.4, mais le successeur du SUV électrique s’annonce bien plus ambitieux

Le SUV électrique Volkswagen ID.4 va bientôt tirer sa révérence. Le fabricant allemand s’apprête en effet à remplacer progressivement ce dernier par le Volkswagen ID. Tiguan, qui bénéficiera d’améliorations conséquentes….

ColorOS partout ? Oppo envisagerait un changement radical pour OnePlus et Realme

Les interfaces Android OxygenOS et Realme UI appartiendraient peut-être bientôt au passé. Oppo prévoirait en effet d’équiper les smartphones OnePlus et Realme de ColorOS, qui viendrait remplacer les précédentes interfaces….