{"id":19468,"date":"2022-09-23T09:13:03","date_gmt":"2022-09-23T07:13:03","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19468"},"modified":"2022-09-23T09:22:36","modified_gmt":"2022-09-23T07:22:36","slug":"genshin-driver-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/genshin-driver-attack\/19468\/","title":{"rendered":"Le code d’un jeu est utilis\u00e9 pour attaquer une entreprise"},"content":{"rendered":"

Sorti en septembre 2020 sur PC et consoles, le jeu vid\u00e9o de type action-RPG Genshin Impact<\/em><\/a> a \u00e9t\u00e9 cr\u00e9\u00e9 par l\u2019entreprise chinoise miHoYo Limited. La version Windows inclut un module anti-triche \u00e9quip\u00e9 d\u2019un pilote connu comme mhyprot2.sys<\/em>. Ce dernier offre de nombreux privil\u00e8ges syst\u00e8me au m\u00e9canisme de d\u00e9fense du jeu, ainsi qu\u2019une signature num\u00e9rique pour d\u00e9montrer ses droits. Le jeu en a besoin pour d\u00e9tecter et bloquer les outils qui permettraient de contourner les restrictions int\u00e9gr\u00e9es. Contre toute attente, les cybercriminels ont d\u00e9couvert comment ils pouvaient utiliser ce pilote autrement.<\/p>\n

En ao\u00fbt 2022, Trend Micro a publi\u00e9 un rapport<\/a> \u00e0 propos d\u2019une attaque inhabituelle au sein de l\u2019infrastructure d\u2019une entreprise. \u00a0L\u2019attaque se servait du pilote mhyprot2.sys<\/em>. En quelques mots, un groupe de cybercriminels a d\u00e9couvert qu\u2019il pouvait utiliser virtuellement et de fa\u00e7on illimit\u00e9e les privil\u00e8ges syst\u00e8me du pilote et le certificat num\u00e9rique l\u00e9gitime associ\u00e9 comme outils pour lancer une attaque cibl\u00e9e. Inutile d\u2019avoir install\u00e9 le jeu pour en \u00eatre victime.<\/p>\n

D\u00e9jouer les syst\u00e8mes de protection<\/h2>\n

Le rapport d\u00e9crit l\u2019attaque qui a affect\u00e9 une victime anonyme, mais omet la m\u00e9thode initiale que les cybercriminels ont utilis\u00e9e pour acc\u00e9der \u00e0 l\u2019infrastructure de l\u2019entreprise en question. Nous savons seulement qu\u2019ils ont utilis\u00e9 un compte administrateur compromis pour acc\u00e9der au contr\u00f4leur de domaine via le RDP. En plus de voler les donn\u00e9es du contr\u00f4leur, les cybercriminels y ont plac\u00e9 un dossier partag\u00e9 avec un programme d\u2019installation malveillant qu\u2019ils pr\u00e9sentaient comme un antivirus. Les cybercriminels se sont servis des politiques du groupe pour installer le fichier sur un des postes de travail, et il s\u2019agissait sans doute d\u2019un entra\u00eenement avant de lancer une infection de masse sur tous les ordinateurs de l\u2019entreprise.<\/p>\n

Pourtant, ils n\u2019ont pas r\u00e9ussi \u00e0 installer le programme malveillant sur le poste de travail\u00a0: le module qui \u00e9tait cens\u00e9 chiffrer les donn\u00e9es, et qui aurait ensuite donn\u00e9 lieu \u00e0 une demande de ran\u00e7on, ne s\u2019est pas ex\u00e9cut\u00e9 et les cybercriminels ont d\u00fb le lancer manuellement. Ils ont r\u00e9ussi \u00e0 installer le pilote parfaitement l\u00e9gal mhyprot2.sys<\/em> de Genshin Impact<\/em>. L\u2019autre outil qu\u2019ils ont d\u00e9ploy\u00e9 dans le syst\u00e8me recueillait des informations sur les processus qui pourraient interf\u00e9rer avec l\u2019installation du code malveillant.<\/p>\n

\"La

La liste des processus forc\u00e9s \u00e0 l\u2019arr\u00eat par le pilote du jeu Source<\/a><\/p><\/div>\n

Tous les processus de la liste, dont les solutions de s\u00e9curit\u00e9 actives sur l\u2019ordinateur, ont \u00e9t\u00e9 interrompus un par un par le pilote mhyprot2.sys<\/em>. Une fois que le syst\u00e8me \u00e9tait sans d\u00e9fense, le v\u00e9ritable outil malveillant passait \u00e0 l\u2019action, chiffrait les fichiers et laissait une demande de ran\u00e7on.<\/p>\n

Un piratage atypique<\/h2>\n

Cet incident est int\u00e9ressant puisqu\u2019il montre comment un logiciel l\u00e9gitime et distribu\u00e9 comme composant d\u2019un c\u00e9l\u00e8bre jeu vid\u00e9o peut \u00eatre exploit\u00e9. Trend Micro a d\u00e9couvert que le pilote mhyprot2.sys<\/em> utilis\u00e9 lors de l\u2019attaque a \u00e9t\u00e9 sign\u00e9 en ao\u00fbt 2020, peu de temps avant la sortie officielle du jeu. Les cybercriminels ont tendance \u00e0 utiliser les certificats priv\u00e9s vol\u00e9s pour signer les programmes malveillants, ou pour exploiter les vuln\u00e9rabilit\u00e9s d\u2019un programme l\u00e9gitime. Pourtant, dans ce cas, les cybercriminels ont utilis\u00e9 les fonctionnalit\u00e9s normales du pilote, c\u2019est-\u00e0-dire l\u2019acc\u00e8s total \u00e0 la RAM et la possibilit\u00e9 d\u2019interrompre tous les processus du syst\u00e8me. Ces programmes l\u00e9gitimes sont une menace suppl\u00e9mentaire pour l\u2019administrateur de l\u2019infrastructure de l\u2019entreprise puisqu\u2019ils peuvent facilement passer inaper\u00e7us et ne pas \u00eatre d\u00e9tect\u00e9s par les outils de surveillance.<\/p>\n

Les utilisateurs de Genshin Impact<\/em> ont vite remarqu\u00e9 le comportement inhabituel de mhyprot2.sys<\/em>. Par exemple, le module ne dispara\u00eet pas du syst\u00e8me, m\u00eame lors de la d\u00e9sinstallation, ce qui signifie que tous les amateurs de ce jeu sur PC, pass\u00e9s et pr\u00e9sents, sont vuln\u00e9rables et que leurs ordinateurs peuvent facilement \u00eatre attaqu\u00e9s. Curieusement, les conversations<\/a> d\u2019un chat qui expliquaient comment le pilote des syst\u00e8mes anti-triche pouvait \u00eatre exploit\u00e9 tout en profitant des diverses capacit\u00e9s du module et de la signature \u00e9lectronique remonte \u00e0 octobre 2020.<\/p>\n

Cet incident est un rappel pour les d\u00e9veloppeurs de programmes qui doivent utiliser leurs privil\u00e8ges \u00e9lev\u00e9s et leurs droits syst\u00e8me avec prudence. Dans le cas contraire, le code pourrait \u00eatre utilis\u00e9 pour lancer des attaques informatiques et ne remplirait plus sa fonction de protection contre la cybercriminalit\u00e9. Les d\u00e9veloppeurs de Genshin Impact<\/em> ont \u00e9t\u00e9 inform\u00e9s des \u00e9ventuels probl\u00e8mes associ\u00e9s avec le pilote l\u2019\u00e9t\u00e9 dernier, mais il semblerait qu\u2019ils n\u2019aient pas consid\u00e9r\u00e9 le comportement dangereux du module comme \u00e9tant un probl\u00e8me. D\u2019autre part, la signature num\u00e9rique \u00e9tait encore en place fin ao\u00fbt 2022.<\/p>\n

Quelques conseils pour les entreprises<\/h2>\n

Vous pouvez r\u00e9duire le risque de souffrir d\u2019une attaque comme celle d\u00e9crite ci-dessus en ajoutant le pilote potentiellement dangereux \u00e0 votre liste de surveillance, et en utilisant des solutions de s\u00e9curit\u00e9 ayant de grandes capacit\u00e9s d'auto-d\u00e9fense<\/a>. N\u2019oubliez pas que les cybercriminels ont d\u2019abord eu acc\u00e8s au contr\u00f4leur de domaine et que cette situation est particuli\u00e8rement dangereuse. Ainsi, ils pourraient utiliser des m\u00e9thodes moins intrusives pour continuer \u00e0 distribuer le programme malveillant sur le r\u00e9seau de l\u2019entreprise.<\/p>\n

Normalement, la d\u00e9tection de jeux install\u00e9s sur les ordinateurs du personnel n\u2019est importante qu\u2019en termes de productivit\u00e9. L\u2019incident li\u00e9 au syst\u00e8me anti-triche de Genshin Impact<\/em> montre que les programmes \u00a0\u00bb\u00a0inutiles\u00a0\u00a0\u00bb sont certes une distraction mais surtout un risque de s\u00e9curit\u00e9 suppl\u00e9mentaire. Les employ\u00e9s pourraient installer des programmes potentiellement dangereux et, dans certains cas, introduire des codes ouvertement dangereux dans le p\u00e9rim\u00e8tre de s\u00e9curit\u00e9.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nous vous parlons d\u2019un incident inhabituel. Une attaque a \u00e9t\u00e9 lanc\u00e9e gr\u00e2ce \u00e0 l\u2019exploitation du code l\u00e9gitime d\u2019un jeu vid\u00e9o.<\/p>\n","protected":false},"author":665,"featured_media":19472,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[4327,4326,60,322],"class_list":{"0":"post-19468","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-anti-triche","10":"tag-pilote","11":"tag-vulnerabilite","12":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/genshin-driver-attack\/19468\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/genshin-driver-attack\/24581\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/genshin-driver-attack\/20047\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/genshin-driver-attack\/27034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/genshin-driver-attack\/24938\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/genshin-driver-attack\/25303\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/genshin-driver-attack\/27639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/genshin-driver-attack\/33982\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/genshin-driver-attack\/11023\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/genshin-driver-attack\/45494\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/genshin-driver-attack\/20052\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/genshin-driver-attack\/29295\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/genshin-driver-attack\/25454\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/genshin-driver-attack\/30988\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/genshin-driver-attack\/30683\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19468","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19468"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19468\/revisions"}],"predecessor-version":[{"id":19473,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19468\/revisions\/19473"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19472"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19468"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19468"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19468"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}