Des pirates ont détourné le système de mise à jour logicielle d'ASUS pendant plusieurs mois pour installer une porte dérobée sur des milliers de PC.

Selon des experts de Kaspersky Lab, des pirates ont réussi à installer des logiciels malveillants sur plus d’un million PC de la marque Asus l’année dernière.

Ils ont surnommé cette campagne de cyber espionnage : « opération ShadowHammer ».

La diffusion d’une version piratée de l’utilitaire ASUS Live Update

ASUS Live Update est un utilitaire préinstallé sur la plupart des ordinateurs de la marque qui est utilisé pour mettre à jour automatiquement certains composants tels que les BIOS, les pilotes et les applications.

D’après la société russe de cyberdéfense, l’opération ShadowHammera qui s’est déroulée entre juin et novembre 2018 reposait sur la diffusion d’une version piratée de l’utilitaire ASUS Live Update aux utilisateurs de PC ASUS dans le but d’introduire des portes dérobées qui devaient permettre aux attaquants d’accéder plus tard et en toute discrétion aux machines infectées.

L’opération ShadowHammer s’ajoute à la longue liste de campagnes d’espionnage dénommée APT (Advanced persistent threat) ayant déjà été mis en évidence par la firme de sécurité russe.

L’équipe internationale de recherche et d’analyse (GReAT) de Kaspersky Lab a recensé au moins 15 pays touchés par cette campagne de cyber espionnage, avec la Russie, l’Allemagne, la France, l’Italie et les États-Unis tête de liste.

La société a estimé que plus de 57000 de ses utilisateurs avaient téléchargé et installé la mise à jour logicielle compromise d’Asus.

Elle précise qu’il y avait plusieurs versions des binaires infectés d’ASUS Live Update en circulation ciblant chacun « un pool inconnu d’utilisateurs identifiés par l’adresse MAC de leur adaptateur réseau ».