Kaspersky a publié cette semaine une solution de renseignement sur les menaces conçue pour faciliter l’attribution d’échantillons de logiciels malveillants à des groupes connus de menaces persistantes avancées (APT).

Le nouveau moteur d’attribution des menaces Kaspersky, un produit commercial disponible dans le monde entier, utilise une méthode propriétaire pour comparer le code malveillant à une base de données de logiciels malveillants et le lier à des groupes ou des campagnes APT en fonction des similitudes du code.

Le plus souvent, l’identification de l’acteur derrière une attaque est une tâche difficile et chronophage, nécessitant à la fois une grande quantité d’informations sur les menaces collectées et une équipe de chercheurs hautement qualifiés et expérimentés, soutient Kaspersky.

Le nouvel outil est destiné à automatiser la classification et l’identification des logiciels malveillants sophistiqués. Il est basé sur un outil interne utilisé par la Global Research and Analysis Team (GReAT) de Kaspersky et a déjà été mis à profit dans l’enquête sur les campagnes TajMahal, ShadowHammer, ShadowPad et Dtrack, et sur l’implant iOS LightSpy.

Kaspersky Threat Attribution Engine intègre une base de données d’échantillons de logiciels malveillants APT (plus de 60000 fichiers liés à APT) et des fichiers propres collectés sur une période de 22 ans, et peut rapidement lier de nouvelles attaques à des logiciels malveillants APT connus, des incidents ciblés et des groupes de piratage.

L’outil calcule un score de réputation des nouveaux fichiers en fonction de leur similitude avec les échantillons de la base de données, en mettant en évidence leur origine et leur auteur possibles. Une brève description et des liens vers des ressources privées et publiques sont également fournis pour le connecter aux campagnes précédentes.

Les abonnés de Kaspersky APT Intelligence Reporting ont accès à un rapport dédié contenant des informations sur les tactiques, les techniques et les procédures de l’acteur de menace identifié, explique la société.

Le moteur d’attribution des menaces de Kaspersky est destiné au déploiement sur site, plutôt qu’à une utilisation dans un environnement cloud tiers, afin que le client ait le contrôle sur les données …