Un « acteur malveillant » a compromis et utilisé l’utilitaire de diffusion des mises à jour d’Asus pour répandre un malware. Une attaque sophistiquée qui n’est pas sans rappeler celle visant CCleaner en 2017.
Kaspersky a révélé en début de semaine avoir détecté un « incident » sur la chaîne de distribution de mises à jour d’Asus et de trois autres fabricants dont les noms n’ont pas été divulgués. Le géant russe de la cybersécurité raconte avoir découvert qu’un « acteur malveillant a modifié ASUS Live Update Utility, qui fournit des mises à jour logicielles, BIOS, UEFI et ordinateurs portables ASUS, a ajouté une porte dérobée à cet utilitaire, puis l'a distribué aux utilisateurs par le biais des canaux officiels ». L’attaque a été baptisée Shadow Hammer.
« L'utilitaire trojanisé était signé avec un certificat légitime et était hébergé sur le serveur officiel ASUS dédié aux mises à jour, ce qui lui a permis de ne pas être détecté pendant longtemps. Les criminels ont même veillé à ce que la taille du fichier de l'utilitaire malveillant reste la même que celle de l'original » décrit Kaspersky. L’information a été par la suite confirmée par Asus. Si Kaspersky n’est pas en mesure de chiffrer précisément le nombre de machines touchées par l’utilitaire compromis, il l’estime à un million.
Haut niveau de sophistication
Néanmoins, tous ne sont pas logés à la même enseigne. Les attaquants n’ont en effet pas utilisé la backdoor installée dans l’utilitaire pour diffuser un malware, dont le fonctionnement n’est pas explicité, dans l’ensemble du parc affecté. « Ils ne ciblaient que 600 adresses MAC spécifiques, pour lesquelles les hachages étaient codés en dur dans différentes versions de l'utilitaire » écrit l’entreprise russe. Comment cette liste d’adresses Mac a-t-elle été obtenue ? Mystère.
Néanmoins on peut aisément faire le parallèle avec l’attaque dirigée contre CCleaner en 2017. A l’époque, des attaquants avaient infecté les serveurs de l’éditeur, Piriform, sur lesquels les programmes étaient compilés. Le code source des versions 5.33.6162 de CCleaner et 1.7.0.3191 CCleaner Cloud avait été tel quel par les assaillants, contrairement aux builds compilées qui contenaient le malware. Là encore, se servant de la signature numérique de Piriform, le programme malveillant avait pu contourner les analyses.
Attaques contre les supply chains
Kaspersky estime que 2,27 millions de personnes avaient téléchargé en l’espace d’un mois le programme malveillant et que, pour plus de la moitié d’entre elles, le malware avait joint le serveur C&C. Sur celui-ci, un script déterminait s’il fallait infecter un peu plus ou non les machines. N’ont été « sélectionnés » que quarante terminaux, tous utilisés par des cadres d’entreprise du secteur de l’IT. Il semble que d’autres informations avaient fuité à l’époque de l’attaque, notamment des adresses MAC.
Il n’est donc pas à exclure que les adresses MAC visées par Shadow Hammer proviennent de l’attaque CCleaner. Il est même probable, selon certains observateurs, que les opérateurs du malware soient les mêmes dans les deux cas, tant les similarités sont nombreuses. Averti, Asus a implémenté un correctif dans la dernière version du logiciel Live Update et introduit plusieurs mécanismes de vérification de sécurité. Côté serveurs, le Taïwanais indique avoir là encore renforcé sa sécurité. Asus a mis en ligne un outil de diagnostic, tandis que Kaspersky propose une recherche MAC afin de déterminer si une machine est compromise.