Le géant de l'informatique Asus a été victime d'une attaque qui est passée inaperçue pendant un moment. Avec celle-ci, les assaillants ont pu faire passer un logiciel malveillant pour un programme fiable.

Les ordinateurs commercialisés par Asus ont fait l’objet d’une attaque informatique visant à y installer secrètement un logiciel malveillant. Cette nouvelle pourrait sembler bien banale dans un monde où les actions malintentionnées se succèdent chaque semaine. Mais l’opération dont Motherboard vient de se faire l’écho ce lundi 25 mars comporte des caractéristiques inhabituelles.

Nos confrères rapportent l’existence d’une attaque informatique au niveau de la gestion de la chaîne logistique (supply chain attack) de l’industriel taïwanais. Selon un ex-analyste de la NSA cité par le magazine, ces attaques « sont classées dans la catégorie des ‘choses sérieuses’ et sont le signe de quelqu’un qui est prudent à ce sujet et qui a fait un peu de planification ».

L’Asus Zenbook Pro 15. // Source : Numerama

Duperie sur l’authenticité d’un logiciel

Grâce à cette attaque au niveau de la chaîne d’approvisionnement, les assaillants ont pu, à l’insu du constructeur informatique, installer leur porte dérobée dans les ordinateurs. Cela est passé comme une lettre à la porte, puisque le fichier était signé avec des certificats numériques légitimes d’Asus, de manière à donner l’impression qu’il s’agissait d’une mise à jour logicielle authentique de la société.

De ce que l’on sait, l’attaque a consisté à pirater l’un des serveurs d’Asus dédiés aux mises à jour. L’outil malveillant et signé avec un certificat numérique pour lui donner de la légitimité. Pour ne pas éveiller les soupçons, les auteurs ont même fait en sorte que le cheval de Troie ait le même poids que le programme d’origine. Trois autres sociétés non nommées sont concernées par l’attaque.

Dans le cas d’Asus, l’opération a touché le logiciel Live Update Utility et aurait atteint des dizaines de milliers de postes. Peut-être un million, selon Kaspersky. L’utilitaire de mise à jour automatique sert à récupérer les dernières modifications logicielles pour leur PC dès qu’elles qu’elles sont disponibles, en vérifiant périodiquement sur le serveur de la société si de nouveaux logiciels sont à télécharger.

L’outil est sensible : il est non seulement en mesure de mettre à jour des logiciels, mais aussi d’apporter des changements à l’UEFI et au BIOS.

Kaspersky a été le premier à repérer le logiciel malveillant, en janvier 2019, rapporte Motherboard, grâce à la mise en place d’une nouvelle technologie de détection dans son outil d’analyse. Celui-ci cible la chaîne d’approvisionnement pour détecter les fragments de code anormaux dissimulés dans le code légitime ou pour repérer le code qui s’emploie à détourner les activités habituelles normales sur une machine.

Kaspersky Lab. // Source : NTNU

Nombre limité de cibles

Ces observations ont été par la suite été confirmées par un autre éditeur d’antivirus, à savoir Symantec. La société américaine dit avoir relevé au moins la présence de ce logiciel malveillant sur 13 000 postes. Ils auraient été infectés l’an dernier. L’enquête se poursuit toutefois pour évaluer précisément l’étendue de l’infection. De son côté, Kaspersky, qui est une entreprise russe, en a dénombré 57 000.

L’identité des attaquants demeure un mystère. Selon les deux éditeurs d’antivirus, les victimes se trouvent notamment, en Russie, aux États-Unis, en Allemagne et en France. Cependant, ajoute Kaspersky, «  les cybercriminels qui se cachent derrière cette attaque n’étaient pas intéressés par tout ce monde, et c’est pourquoi ils n’ont ciblé que 600 adresses MAC en particulier ».

Une adresse MAC est un identifiant unique que l’on retrouve dans une carte réseau.

La nature des cibles n’est pas donnée, mais selon Kaspersky, cité par nos confrères, « cette attaque se démarque des précédentes tout en étant d’un niveau supérieur en complexité et furtivité. Le filtrage chirurgical des cibles par leurs adresses MAC est l’une des raisons pour lesquelles elles n’ont pas été détectées pendant si longtemps. Si vous n’êtes pas une cible, le malware est pratiquement silencieux ».

C’est pour cela que Kaspersky a surnommé l’attaque le « Marteau de l’Ombre ». L’outil a cherché à frapper largement pour atteindre une cible réduite, sans se faire détecter. Selon Kaspersky, toutes ses solutions sont aujourd’hui en mesure de détecter et bloquer les actions de ShadowHammer. Une présentation plus détaillée de l’attaque doit survenir en avril à Singapour.

Partager sur les réseaux sociaux