ShadowHammer : des mises à jour malveillantes sur les ordinateurs portables ASUS

25 Mar 2019

Nos produits sont équipés d’une nouvelle technologie qui peut détecter les attaques de la chaîne d’approvisionnement, ce qui a permis à nos experts de révéler une attaque de ce genre, qui semble être une des plus importantes qui n’ait jamais existé. Vous vous souvenez de celle de CCleaner ? Celle-ci est encore plus conséquente. Un facteur de risque a modifié le logiciel Live Update Utility d’ASUS, a ajouté une porte dérobée, puis l’a transmis aux utilisateurs par voie officielle. Le programme en question apporte les mises à jour du BIOS, de l’UEFI et des logiciels des PCs et ordinateurs portables ASUS.

Un certificat légitime a été utilisé pour signer l’outil utilisé comme cheval de Troie, et il a été hébergé sur le serveur officiel ASUS spécialement créé pour les mises à jour. Cette méthode lui a permis de passer inaperçu pendant un certain temps. Les criminels se sont également assurés que la taille du logiciel malveillant était identique à celle du programme d’origine.

Selon nos statistiques, plus de 57 000 utilisateurs des produits Kaspersky Lab ont installé cet outil qui contient une porte dérobée, mais nous pensons qu’il a pu être distribué à près d’1 million de personnes. Les cybercriminels qui se cachent derrière cette attaque, n’étaient pas intéressés par tout ce monde, et c’est pourquoi ils n’ont ciblé que 600 adresses MAC en particulier. Ces victimes ont vu comment le hachage a été codé en dur dans les différentes versions de cet outil.

Lors de nos recherches sur cette attaque, nous avons découvert que cette même méthode a été utilisée contre les logiciels de trois autres vendeurs. Nous avons évidemment averti ASUS et les autres entreprises. Désormais, toutes les solutions Kaspersky Lab détectent et bloquent les outils utilisés comme chevaux de Troie, mais nous vous conseillons tout de même de mettre à jour le logiciel Live Update Utility d’Asus, si vous vous en servez. Notre enquête est toujours en cours.

Si vous voulez en savoir plus sur cette attaque de la chaîne d’approvisionnement qui est une des plus importantes jamais détectée, analyser les détails techniques, consulter l’IoC, comprendre qui était visé, et obtenir certains conseils pour vous protéger des attaques de la chaîne d’approvisionnement comme celle-ci, alors nous vous recommandons de vous rendre au SAS 2019 ; cette excellente conférence sur la sécurité ouvre ses portes le 8 avril à Singapour. Un atelier sera consacré à l’APT ShadowHammer et nous analyserons de nombreux détails particulièrement intéressants. Il ne reste plus beaucoup d’entrées disponibles, alors dépêchez-vous.

Vous pouvez aussi lire l’intégralité de notre rapport, qui sera disponible pendant le SAS, sur notre site Internet securelist.com. Ne ratez rien  !