Nos recherches révèlent que les acteurs malveillants qui se cachent derrière l’opération ShadowHammer ont ciblé des utilisateurs de l’outil de mise à jour ASUS LiveUpdate, en y injectant un backdoor, au moins entre juin et novembre 2018. Les experts de Kaspersky Lab estiment que l’attaque peut avoir touché plus d’un million d’utilisateurs dans le monde.

L’attaque contre la supply chain est l’un des vecteurs d’infection les plus dangereux et efficaces, de plus en plus exploité dans des opérations avancées ces dernières années, à l’exemple de ShadowPad ou CCleaner. Ce type d’attaque cible des faiblesses spécifiques dans les systèmes interconnectés de ressources humaines, organisationnelles, matérielles et intellectuelles intervenant dans le cycle de vie des produits, depuis le développement initial jusqu’à l’utilisateur final. S’il est possible de sécuriser l’infrastructure d’un fournisseur, il peut cependant exister des vulnérabilités sur les sites de ses sous-traitants, permettant de saboter la supply chain et aboutissant à un piratage aussi dévastateur qu’inattendu.

Les auteurs de ShadowHammer ont employé l’outil de mise à jour ASUS LiveUpdate comme source initiale de l’infection. Il s’agit d’un logiciel préinstallé sur la plupart des ordinateurs ASUS récents et destiné à la mise à jour automatique du BIOS, de l’UEFI, des pilotes et des applications. En volant des certificats numériques utilisés par ASUS pour signer des fichiers binaires légitimes, les assaillants ont altéré d’anciennes versions du logiciel ASUS pour y injecter leur propre code malveillant. Des versions de l’outil, infectées par un cheval de Troie, ont été signées au moyen de certificats légitimes puis hébergées et diffusées par les serveurs officiels ASUS de mise à jour, ce qui les a rendues essentiellement invisibles pour la grande majorité des solutions de protection.

Alors que potentiellement chaque utilisateur du logiciel concerné pourrait en avoir été victime, les auteurs de ShadowHammer se sont concentrés sur quelques centaines d’utilisateurs, au sujet desquels ils avaient préalablement recueilli des informations. Comme l’ont découvert les chercheurs de Kaspersky Lab, chaque code de backdoor intégrait une table d’adresses MAC, c’est-à-dire l’identifiant distinctif de la carte d’interface servant à connecter un ordinateur à un réseau. Une fois exécuté sur la machine d’une victime, le backdoor vérifiait la présence de son adresse MAC dans cette table, auquel cas le malware téléchargeait la séquence suivante de code malveillant. Dans le cas contraire, l’outil de mise à jour infiltré ne présentait aucune activité sur le réseau, raison pour laquelle il n’a pas été découvert pendant une période aussi longue. Au total, les experts en sécurité ont pu identifier plus de 600 adresses MAC répertoriées. Celles-ci ont été ciblées par au moins 230 échantillons de backdoor comportant différents codes shell.

Les caractéristiques modulaires du malware, ainsi que les précautions supplémentaires prises lors de son exécution afin de prévenir la fuite accidentelle de code ou de données, indiquent qu’il était très important pour les auteurs de cette attaque complexe de passer inaperçus, tout en frappant certaines cibles très spécifiques avec une précision chirurgicale. Une analyse technique approfondie révèle que l’arsenal employé est très évolué et témoigne d’un très haut niveau de développement au sein du groupe d’assaillants.

La recherche de malwares similaires a fait apparaître des logiciels de trois autres fournisseurs asiatiques, tous infectés par des backdoors aux méthodes et techniques très voisines. Kaspersky Lab a signalé le problème à ASUS et aux autres entreprises concernées.

« Les fournisseurs visés sont des cibles extrêmement attrayantes pour les groupes APT, désireux de tirer profit de leur vaste clientèle. L’objectif ultime des assaillants n’est pas encore très clair et nous continuons de chercher qui se cache derrière l’attaque. Cependant, les techniques employées pour exécuter du code non autorisé ainsi que les autres éléments découverts laissent penser que ShadowHammer est probablement lié à l’APT BARIUM, elle-même précédemment en relation avec les incidents ShadowPad et CCleaner, entre autres. Cette nouvelle campagne est un exemple de plus du mode opératoire d’une attaque ingénieuse, sophistiquée et dangereuse contre la supply chain de nos jours », commente Vitaly Kamluk, Directeur de l’équipe GReAT Asie-Pacifique chez Kaspersky Lab.

Tous les produits Kaspersky Lab détectent et bloquent avec succès le malware utilisé dans l’opération ShadowHammer.

Pour vous éviter d’être victime d’une attaque ciblée provenant d’un acteur malveillant connu ou non, les chercheurs de Kaspersky Lab vous recommandent les précautions suivantes :

  • En plus d’une indispensable protection de pour vos postes de travail, déployez une solution de sécurité d’entreprise, capable de détecter les menaces avancées en amont au niveau du réseau, telle que Kaspersky Anti Targeted Attack Platform.
  • Pour la détection, l’investigation et la correction rapide des incidents au niveau des postes de travail, nous préconisons d’installer des solutions EDR telles que Kaspersky Endpoint Detection & Response ou de prendre contact avec une équipe professionnelle de réponse aux incidents.
  • Intégrez des flux de veille des menaces dans votre système SIEM et vos autres dispositifs de sécurité pour accéder aux données les plus pertinentes et à jour dans ce domaine afin de vous préparer à de futures attaques.
  • Kaspersky Lab présentera l’ensemble de ses recherches sur l’opération ShadowHammer lors du Security Analyst Summit 2019 qui se déroulera à Singapour du 9 au 11 avril.
  • Un rapport complet sur la campagne ShadowHammer est d’ores et déjà accessible aux clients du service Kaspersky Intelligence Reporting.
  • Un billet de blog résumant l’attaque ainsi qu’un outil spécial permettant de vérifier si les machines des utilisateurs ont été ciblées sont également disponibles sur le site Securelist.
  • L’outil de vérification est par ailleurs disponible sur un site web

À propos de Kaspersky Lab

Kaspersky Lab est une société de cybersécurité mondiale qui est active sur le marché depuis plus de 20 ans. L’expertise de Kaspersky Lab en matière de « Threat Intelligence » et sécurité informatique vient perpétuellement enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky Lab comprend la protection avancée et complète des terminaux et un certain nombre de solutions et de services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky Lab aident plus de 400 millions d’utilisateurs et 270 000 clients à protéger ce qui compte le plus pour eux.

Pour en savoir plus : www.kaspersky.fr.

Hotwire pour Kaspersky Lab

Séverine Randjelovic / Noémie Minster / Aliénor Gamerdinger
01 43 12 55 57 / 73 / 47
KasperskyFrance@hotwireglobal.com

Opération ShadowHammer : une nouvelle attaque contre la supply chain menace des centaines de milliers d’utilisateurs dans le monde

Kaspersky Lab a mis au jour une nouvelle campagne APT (menace persistante avancée) touchant un grand nombre d’utilisateurs à travers une attaque contre la supply chain.
Kaspersky Logo