Le mécanisme de mise à jour d'ASUS a encore été utilisé pour installer des logiciels malveillants sur des ordinateurs personnels.

Selon les chercheurs en sécurité d'Eset,  le groupe de hackers BlackTech déployait le logiciel malveillant Plead en utilisant des attaques MitM(1)  à Taïwan.

Ce groupe utiliserait une faiblesse du logiciel Asus WebStorage pour télécharger le logiciel malveillant en contournant l'authentification.

Selon des chercheurs en sécurité chez Eset, des pirates informatiques ont exploité le logiciel AsSt WebStorage pour installer des portes dérobées (backdoor) sur les ordinateurs de ses victimes.

Un malware utilisé s'appellant Plead.

BlackTech cible principalement les gouvernements asiatiques et des entreprises victimes d'attaques de cyber-espionnage.

Eset a détecté l'activité illicite à Taiwan, où le malware est le plus actif.

ð Généralement, les logiciels malveillants sont distribués via des attaques de phishing.

Mais, pour cette fois, les chercheurs ont remarqué qu'un processus appelé AsusWSPanel.exe activait la backdoor Plead. Ce programme fait partie intégrante du client WebStorage d'Asus. « Le logiciel ASUS WebStorage est vulnérable à ce type d'attaque » indique  Anton Cherepanov,chez Eset.

« La mise à jour du logiciel est demandée et transférée via HTTP. Une fois qu'une mise à jour est téléchargée et prête à être exécutée, le logiciel ne valide pas son authenticité avant son exécution. Ainsi, si le processus de mise à jour est intercepté par des attaquants, ils sont capables de pousser une mise à jour malveillante ».

Plead utilisera des routeurs compromis en tant que serveurs de commande et de contrôle.

Selon Eset, BlackTech aurait probablement utilisé une autre attaque et au sein de la chaîne d'approvisionnement.

Ce type de violation se produit dans la chaîne d'approvisionnement du fabricant, où les mesures de sécurité peuvent être parfois plus laxistes.

Aussi, selon Anton Cherepanov, « Il est très important que les développeurs de logiciels surveillent de manière approfondie leur environnement pour détecter d'éventuelles intrusions, mais aussi qu'ils mettent en œuvre des mécanismes de mise à jour appropriés dans leurs produits et qui résistent aux attaques MitM».

La réponse officielle d'Asus est la suivante : « Dès qu'il a eu connaissance de l'incident, ASUS Cloud a immédiatement pris des mesures pour atténuer l'attaque en arrêtant le serveur de mise à jour ASUS WebStorage . En réponse à cette attaque, ASUS Cloud a revu l'architecture de l'hôte du serveur de mise à jour et a mis en place des mesures de sécurité visant à renforcer la protection des données. Cela permettra d'éviter des attaques similaires à l'avenir. Néanmoins, ASUS Cloud recommande vivement aux utilisateurs des services ASUS WebStorage d'exécuter immédiatement une analyse antivirus complète pour assurer l'intégrité de vos données personnelles ».

(1)             L'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM), parfois appelée attaque de l'intercepteur, est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis.

Le canal le plus courant est une connexion à Internet de l'internaute de base.

L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre.