[ad_1]

BreachTrace a récemment eu l’occasion de contacter le Service fédéral de sécurité russe (FSB), l’équivalent russe du Bureau fédéral d’enquête des États-Unis (FBI). Ce faisant, j’ai rencontré un petit hic : le site Web du FSB indiquait que pour communiquer avec eux en toute sécurité, je devais télécharger et installer un appareil de chiffrement et de réseau privé virtuel (VPN) signalé par au moins 20 produits antivirus. comme logiciel malveillant.

Le siège du FSB sur la place Loubianka, à Moscou. Image : Wikipédia.

La raison pour laquelle j’ai contacté le FSB – l’une des agences qui ont succédé au KGB russe – était assez ironiquement liée aux problèmes de sécurité soulevés par un infâme pirate informatique russe au sujet de la méthode préférée du FSB pour être contacté.

BreachTrace sollicitait des commentaires du FSB sur un article de blog publié par Vladislav « BadB » Horohorinun ancien trafiquant international de cartes de crédit volées qui a passé sept ans dans une prison fédérale américaine pour son rôle dans le vol de 9 millions de dollars à RBS WorldPay en 2009. Horohorin, citoyen de Russie, d’Israël et d’Ukraine, est maintenant de retour là où il a grandi en Ukraine, dirigeant une entreprise de conseil en cybersécurité.

Magasin de cartes BadB d’Horohorin, badb[.]biz, vers 2007. Image : Archive.org.

Visitez le site Web du FSB et vous remarquerez peut-être que son adresse Web commence par http:// au lieu de https://, ce qui signifie que le site n’utilise pas de certificat de cryptage. Concrètement, toute information partagée entre le visiteur et le site web est transmise en clair et sera visible par toute personne ayant accès à ce trafic.

Cela semble être le cas quel que soit le site du gouvernement russe que vous visitez. Selon Le géant russe de la recherche Yandexles lois de la Fédération de Russie exigent que les connexions cryptées soient installées conformément au Algorithme cryptographique russe GOST.

Cela signifie que ceux qui ont une raison d’envoyer des communications cryptées à une organisation gouvernementale russe – y compris des choses ordinaires comme effectuer un paiement pour une licence gouvernementale ou une amende, ou déposer des documents juridiques – doivent d’abord installer CryptoProune application Windows uniquement qui charge les bibliothèques de chiffrement GOST sur l’ordinateur d’un utilisateur.

Mais si vous souhaitez parler directement au FSB via une connexion cryptée, vous pouvez simplement installer leur propre client, qui regroupe le code CryptoPro. Visitez le site du FSB et sélectionnez l’option « transférer des informations significatives aux unités opérationnelles », et vous verrez une invite pour installer une application de « génération de nombres aléatoires » qui est nécessaire avant qu’un formulaire de contact spécifique sur le site Web du FSB ne se charge correctement.

Attention, je ne suggère à personne de faire cela : Horohorin a souligné que ce générateur de nombres aléatoires a été signalé par 20 antivirus et produits de sécurité différents comme malveillant.

« Réfléchissez bien avant de contacter le FSB pour toute question ou de traiter avec eux, et si vous décidez néanmoins de le faire, il est préférable d’utiliser une machine virtuelle », a écrit Horohorin. « Et une combinaison spatiale. Et, de préférence, dans un autre pays.

Détections de produits antivirus sur le logiciel VPN du FSB. Image : VirusTotal.

Il convient probablement de mentionner que le FSB est la même agence qui a été sanctionnée pour cyberactivité malveillante par le gouvernement américain à plusieurs reprises au cours des cinq dernières années. Selon les sanctions les plus récentes du Département du Trésor américainle FSB est connu pour recruter des hackers criminels sur des forums clandestins et leur offrir une couverture légale pour leurs actions.

« Pour renforcer ses cyber-opérations malveillantes, le FSB cultive et coopte des pirates informatiques criminels, y compris Evil Corp., leur permettant de s’engager dans des attaques de rançongiciels perturbatrices et des campagnes de phishing », lit-on. une évaluation du Trésor d’avril 2021.

Si Horohorin semble convaincu que le FSB diffuse des logiciels malveillants, il n’est pas rare qu’un grand nombre d’outils de sécurité utilisés par VirusTotal ou d’autres services de « sandbox » malveillants similaires pour signaler à tort les fichiers sécurisés comme mauvais ou suspects – une condition trop courante connue sous le nom de « faux positif ».

À la fin de l’année dernière, j’ai a prévenu mes abonnés sur Twitter de différer l’installation des mises à jour pour leur Dell produits jusqu’à ce que l’entreprise puisse expliquer pourquoi un groupe de ses pilotes logiciels étaient détectés comme des logiciels malveillants par deux douzaines d’outils antivirus. Tout cela s’est avéré être de faux positifs.

Pour vraiment comprendre ce que faisait ce logiciel FSB, je me suis tourné vers Lance Jamesle fondateur de Unité221B, une entreprise de cybersécurité basée à New York. James a déclaré que chaque demande de téléchargement génère un nouveau programme exécutable. En effet, le caractère unique du fichier lui-même fait partie de ce qui rend possible la connexion cryptée un à un.

« Essentiellement, c’est comme un VPN temporaire à usage unique, utilisant une clé distincte pour chaque téléchargement », a déclaré James. « L’exécutable est la poignée de main avec vous pour échanger des clés, car il stocke la clé de cette session dans l’exe. C’est une approche terrible. Mais c’est comme ça. »

James a déclaré que le programme du FSB ne semble pas être un malware, du moins en termes d’actions qu’il effectue sur l’ordinateur d’un utilisateur.

« Il n’y a aucun signe d’activité réelle de cheval de Troie ici, sauf le fait qu’il s’auto-supprime », a déclaré James. « Il utilise le cryptage GOST, et [the antivirus products] pense peut-être que ces propriétés ressemblent à des rançongiciels.

James dit qu’il soupçonne que les faux positifs de l’antivirus ont été déclenchés par certains comportements qui pourraient être interprétés comme des logiciels malveillants. La capture d’écran ci-dessous – de VirusTotal – indique que certains contenus du fichier s’alignent sur les règles de détection établies pour trouver des instances de ransomware.

Certaines des règles de détection de logiciels malveillants déclenchées par le logiciel du FSB. Source : Virus Total.

D’autres règles de détection déclenchées par ce fichier incluent des routines de programme qui effacent les journaux d’événements du système de l’utilisateur – un comportement souvent observé dans les logiciels malveillants qui tentent de masquer leurs traces.

Sur le pressentiment que le simple fait d’inclure la routine de cryptage GOST dans un programme de test pourrait suffire à déclencher des faux positifs dans VirusTotal, James a écrit et compilé un court programme en C++ qui invoquait le chiffrement GOST mais n’avait par ailleurs aucun composant réseau. Il a ensuite téléchargé le fichier à analyser sur VirusTotal.

Même si le programme de test de James n’a rien fait de fâcheux ou de malveillant, il était signalé par six moteurs antivirus comme potentiellement hostile. Le moteur d’apprentissage automatique de Symantec semblait particulièrement certain que le fichier de James pourrait être mauvais, lui attribuant le nom de menace « ML.Attribute.HighConfidence » – la même désignation qu’il a attribuée au programme du FSB.

BreachTrace a installé le logiciel du FSB sur un ordinateur de test à l’aide d’un VPN séparé, et il s’est immédiatement connecté à une adresse Internet actuellement attribuée au FSB (213.24.76.xxx).

Le programme m’a invité à cliquer sur différentes parties de l’écran pour générer un caractère aléatoire pour une clé de cryptage, et lorsque cela a été fait, il a laissé une petite fenêtre qui expliquait en russe que la connexion était établie et que je devais visiter un lien spécifique sur le FSB. placer.

Le générateur de nombres aléatoires du FSB en action.

Cela a ouvert une page où je pouvais laisser un message pour le FSB. Je leur ai demandé s’ils avaient une réponse au fait que leur programme était largement signalé comme un logiciel malveillant.

Le formulaire de contact qui est finalement apparu après avoir installé le logiciel du FSB et cliqué sur un lien spécifique chez fsb[.]ru.

Après tous ces efforts, je suis déçu de vous annoncer que je n’ai pas encore reçu de réponse. Je n’ai pas non plus eu de retour de S-Terra CSPla société qui fabrique le logiciel VPN proposé par le FSB.

James a déclaré qu’étant donné leur position, il pouvait voir pourquoi de nombreux produits antivirus pourraient penser qu’il s’agit de logiciels malveillants.

« Puisqu’ils n’utiliseront pas notre crypto et nous n’utiliserons pas le leur », a déclaré James. « C’est une excellente explication sur l’étrangeté politique avec la crypto. »

Pourtant, a déclaré James, un certain nombre de choses n’ont tout simplement pas de sens dans la manière dont le FSB a choisi de déployer son logiciel VPN unique.

« La façon dont ils ont configuré cela pour faire soudainement confiance à un exe changeant dynamiquement est toujours très préoccupante. Aussi, pourquoi m’enverriez-vous une graine de générateur de nombres aléatoires 256 dans un exe alors que l’ordinateur a un générateur de nombres aléatoires parfaitement valide et testé intégré ? Vous m’envoyez un exe avec une clé que vous choisissez dans un environnement non sécurisé. Pourquoi diable, si vous êtes une agence de renseignement de premier plan, feriez-vous ça ? »

Pourquoi en effet. Je me demande combien de personnes partageraient des informations sur les crimes fédéraux avec le FBI si l’agence exigeait que tout le monde installe d’abord un fichier exécutable – sans parler d’un fichier qui ressemble beaucoup à un rançongiciel pour les sociétés antivirus ?

Après avoir fait cette recherche, j’ai appris que le FSB a récemment lancé un site Web qui n’est accessible que via Tor, un logiciel qui protège l’anonymat des utilisateurs en faisant rebondir leur trafic entre différents serveurs et en cryptant le trafic à chaque étape du processus. Contrairement au site Web clair du FSB, le site Tor de l’agence ne demande pas aux visiteurs de télécharger un logiciel douteux avant de les contacter.

« L’application fonctionne pendant un temps limité pour assurer votre sécurité », assurent les instructions du générateur de nombres aléatoires du FSB, avec juste un léger coup de pouce d’urgence. « N’oubliez pas de fermer l’application lorsque vous avez terminé. »

Oui, ne l’oublie pas. Aussi, n’oubliez pas d’incinérer votre ordinateur lorsque vous avez terminé.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *