Utrecht, 26 mars 2019 – Kaspersky Lab a découvert une nouvelle cyberattaque qui a menacé un demi-million de professionnels dans la deuxième moitié de 2018. Cette attaque, nommée opération ShadowHammer, ciblait des utilisateurs de l’ASUS Live Update Utility. Il s’agit d’une chaîne logistique de systèmes connectés où divers types d’agents s’occupent de développement de produit. Les cybercriminels se servaient de portes dérobées ou backdoors pour accéder à des sources d’information intellectuelles d’une importance stratégique pour le cycle de vie des produits. Les pirates firent preuve de tant d’ingéniosité que leur attaque passa inaperçue jusqu’à présent. Kaspersky Lab a depuis signalé le problème à ASUS.

Les cybercriminels derrière l’attaque ShadowHammer ont utilisé l’ASUS Live Update Utility comme principale source d’infection. Il s’agit d’un utilitaire chargé de la mise à jour automatique du BIOS, de l’UEFI, de pilotes et d’applications sur les ordinateurs ASUS. Grâce à des certificats numériques volés qu’ASUS utilise normalement pour signer des fichiers binaires légitimes, les pirates ont pu injecter leur propre code malveillant dans d’anciennes versions de logiciels ASUS. Ainsi, des versions de l’utilitaire ont été converties en chevaux de Troie et signées numériquement à l’aide de certificats légitimes, puis hébergées sur des serveurs de mises à jour officiels d’ASUS à partir desquels les chevaux de Troie ont été diffusés. Cette méthode a permis de contourner la grande majorité des systèmes de sécurité. Les 500.000 utilisateurs de l’utilitaire ASUS se trouvaient donc en position de victime potentielle. Heureusement, les cybercriminels derrière ShadowHammer se sont contentés de pénétrer dans le système de quelques centaines d’utilisateurs consciencieusement sélectionnés.

Les attaques contre une chaîne logistique constituent l’un des plus dangereux – car redoutablement efficace – modes d’infection. Ce mode est de plus en plus fréquemment utilisé pour des opérations sophistiquées comme ShadowPad ou CCleaner. Ces attaques ciblent des sociétés de gestion précises, interconnectées par des systèmes de ressources humaines, organisationnelles, matérielles et intellectuelles utilisés tout au long du cycle de vie d’un produit, de la phase initiale de développement à l’utilisateur final. Même lorsque l’infrastructure d’un fournisseur est sécurisée, il existe toujours des points faibles dans les équipements de différents prestataires concernés, ce qui entraîne un risque de fuites de données aussi inopinées que destructrices.

Les chercheurs de Kaspersky Lab ont découvert que chaque code de porte dérobée contenait un tableau codé en dur contenant des adresses MAC. Une adresse MAC est le code d’identification unique de chaque adaptateur réseau reliant un ordinateur à un réseau. Une fois que la porte dérobée du terminal de la victime est ouverte, celle-ci permet de vérifier si l’adresse MAC est présente dans le tableau. Si c’est le cas, le logiciel malveillant télécharge la phase suivante du code malicieux. Dans le cas contraire, on ne relève aucune activité réseau de la part de l’intrus. Cela explique pourquoi cette cyberattaque est passée si longtemps inaperçue. Les experts en sécurité ont identifié plus de 600 adresses MAC. Ces adresses Mac ont été ciblées par plus de 230 échantillons uniques de portes dérobées avec différents shellcodes.

L’approche modulaire, en plus des mesures de précautions supplémentaires afin de prévenir des fuites de code et de données, laisse à penser que les pirates attachaient une grande importance au fait que cette attaque méticuleuse, visant des cibles spécifiques, ne soit pas détectée. Une analyse technique poussée indique que les cybercriminels en question disposent d’un arsenal très sophistiqué. Cela dénote le haut niveau de développement de ces pirates.

La recherche de logiciels malveillants comparables a révélé que des logiciels de trois autres fournisseurs asiatiques sont infectés par des portes dérobées similaires.

« Les fournisseurs sélectionnés sont des cibles très attractives pour les groupes d’APT (menaces persistantes avancées) souhaitant détourner d’imposants fichiers clients », explique Vitaly Kamluk, directeur de l’équipe Global Research and Analysis APAC de Kaspersky Lab. « On ne sait pas encore clairement quel était l’objectif final des pirates. Les recherches sont en cours pour savoir qui se cache précisément derrière cette attaque. Les techniques utilisées pour l’exécution non autorisée de code ainsi que d’autres indices laissent supposer que ShadowHammer est probablement lié au BARIUM APT. On peut faire le rapprochement entre cette attaque, ShadowPad et CCleaner. Cette nouvelle cybermenace démontre une fois de plus à quel point les attaques sur des chaînes logistiques peuvent être sophistiquées et dangereuses de nos jours."

Lors du Security Analyst Summit qui se tiendra pour son édition 2019 du 9 au 11 avril à Singapour, Kaspersky Lab fera un compte rendu complet de toutes les observations concernant l’opération ShadowHammer. Un rapport d’étude est d’ores et déjà disponible pour les clients Kaspersky Intelligence Reporting Service.

Un récapitulatif de l’affaire a également été mis en ligne sur un blog Securelist. On y trouvera aussi un outil spécialement conçu pour vérifier si l’attaque a affecté un équipement particulier.