Le constructeur informatique Asus a été victime d'une attaque très discrète. Les assaillants ont pu faire passer un logiciel malveillant pour un programme fiable.

Les ordinateurs commercialisés par Asus ont fait l’objet d’une attaque informatique consistant à y installer secrètement un logiciel malveillant.

L’opération présente des caractéristiques inhabituelles.

ð Grâce à cette attaque au niveau de la chaîne d’approvisionnement, les assaillants ont pu, à l’insu du constructeur informatique, installer leur porte dérobée dans les ordinateurs.

En toute discrétion : le fichier était signé avec des certificats numériques légitimes d’Asus, de manière à donner l’impression qu’il s’agissait d’une mise à jour logicielle authentique de la société.

L’attaque aurait  consisté à pirater l’un des serveurs d’Asus dédiés aux mises à jour.

L’outil malveillant est signé avec un certificat numérique pour lui donner l’aspect de la légitimité.

Pour passer inaperçus, les auteurs ont aussi fait en sorte que le cheval de Troie ait le même poids que le programme d’origine.

Cet incident n’est pas sans rappeler la supply chain attack qui a visé Ccleaner, un utilitaire d’entretien de l’ordinateur.

En 2017, il a été découvert qu’une version a été modifiée en secret pour récupérer des données sur les ordinateurs. L’incident, résolu depuis, aurait eu pour origine la Chine.

Dans le cas d’Asus, l’opération a touché le logiciel Live Update Utility et aurait atteint des dizaines de milliers de postes, voire un million, selon Kaspersky.

L’utilitaire de mise à jour automatique sert à récupérer les dernières modifications logicielles pour leur PC dès qu’elles  sont disponibles, en vérifiant périodiquement sur le serveur de la société si de nouveaux logiciels sont à télécharger.

L’outil est sensible : il est non seulement en mesure de mettre à jour des logiciels, mais aussi d’apporter des changements à l’UEFI et au BIOS.

Kaspersky a été le premier à repérer le logiciel malveillant, en janvier 2019 selon  Motherboard, grâce à la mise en place d’une nouvelle technologie de détection dans son outil d’analyse.

Celui-ci cible la chaîne d’approvisionnement pour détecter les fragments de code anormaux dissimulés dans le code légitime ou pour repérer le code qui s’emploie à détourner les activités habituelles normales sur une machine.

Ces observations ont été par la suite été confirmées par un autre éditeur d’antivirus, Symantec.

Cette société dit avoir relevé au moins la présence de ce logiciel malveillant sur 13 000 postes. Ils auraient été infectés l’an dernier.

L’enquête se poursuit t pour évaluer précisément l’étendue de l’infection.

L’identité des attaquants reste difficile à déterminer.

Selon les deux éditeurs d’antivirus, les victimes se trouvent notamment, en Russie, aux États-Unis, en Allemagne et en France. Cependant, indique Kaspersky, «  les cybercriminels qui se cachent derrière cette attaque n’étaient pas intéressés par tout ce monde, et c’est pourquoi ils n’ont ciblé que 600 adresses MAC en particulier ».

La nature des cibles n’est pas précisée  mais selon Kaspersky :

« Cette attaque se démarque des précédentes tout en étant d’un niveau supérieur en complexité et furtivité.

Le filtrage  précis des cibles par leurs adresses MAC est l’une des raisons pour lesquelles elles n’ont pas été détectées pendant si longtemps.

Si vous n’êtes pas une cible, le malware est pratiquement silencieux ». Aussi, Kaspersky a surnommé l’attaque le « Marteau de l’Ombre ». L’outil a cherché à frapper largement pour atteindre une cible réduite, sans se faire détecter.

Selon Kaspersky, toutes ses solutions sont aujourd’hui en mesure de détecter et bloquer les actions de ShadowHammer.