Kaspersky lance la commercialisation de sa boîte à reconnaissance virale

Kaspersky vient d’annoncer la commercialisation de Kaspersky Threat Attribution Engine, outil qui compare le code malicieux nouvellement découvert à « l’une des bases de données de malwares les plus vastes de l’industrie ». L’idée est simple : « en sachant qui attaque leur entreprise, et à quelle fin, les équipes de sécurité peuvent rapidement établir un plan de réponse à incident finement taillé pour cette menace ».

Pour cela, l’outil assure une automatisation aussi poussée que possible de la classification et de l’identification des maliciels. Et il ne tombe pas du ciel : cet outil a été développé en interne par l’éditeur, pour répondre à ses propres besoins. Kaspersky assure qu’il a contribué aux enquêtes sur l’implant iOS LightSpy, mais aussi les campagnes TajMahal, ShadowHammer, ShadowPad, et Dtrack.

Today is a big day
We're announcing Kaspersky Threat Attribution Engine - an ultimate tool for a comprehensive code similarity analysis and #cyberattack attribution.
Started as an internal tool 3 years ago it demonstrated 100% accuracy ⇒ https://t.co/SvSbxRLoRm pic.twitter.com/XftKrHPRz6

— Eugene Kaspersky (@e_kaspersky) June 9, 2020

La surprise tient ici moins à l’existence de cet outil qu’à sa commercialisation. Car Kaspersky n’en faisait pas grand mystère. Début 2018, à l’occasion du Security Analysts Summit de l’éditeur, Costin Raiu (Directeur, Global Research & Analysis Team, Kaspersky) expliquait que l’éditeur était capable d’automatiser au moins en partie le travail d’analyse utilisé dans le processus d’attribution, pour réduire à quelques minutes le temps nécessaire à des opérations qui pouvaient prendre des mois, jusque-là. Et selon lui, la technologie sous-jacente était appelée à être massivement exploitée… quelques années plus tard.

Fin avril, lors d’un entretien avec la rédaction, Costin Raiu est revenu sur le sujet, et plus particulièrement sur ladite technologie sous-jacente : le framework Yara, mis à profit pour rechercher les similarités de code dans divers échantillons. Et tout a commencé il y a trois ans : « En 2017, et particulièrement après l’épisode WannaCry, nous avons commencé à nous pencher sur les similarités de code pour essayer d’extraire des caractéristiques du code de malwares afin de les utiliser pour en identifier d’autres versions, ou d’autres maliciels du même auteur, en nous appuyant sur la réutilisation d’éléments de code source ». Costin Raiu entre plus profondément dans les détails de cet épisode dans un billet de blog.

En fait, la recherche de similarités s’est rapidement montrée intéressante, mais les volumes à traiter étaient tout simplement trop grands. Yara a permis de gagner en efficacité : « en extrayant certaines caractéristiques de code intéressantes pour produire des règles Yara, nous pouvons utiliser nos infrastructures existantes afin de trouver des similarités de code. C’est quelque chose que nous faisons depuis plus de deux ans et demi », nous expliquait ainsi Costin Raiu au mois d’avril.
Et de confier : « pour tout vous dire, une grande part de nos “pouvoirs magiques” vient de l’écriture de telles règles et de leur application au flux d’échantillons arrivant dans notre laboratoire de virologie ».