Skip to main content

Le système de mise à jour logicielle d’Asus a été piraté et utilisé pour distribuer des malwares à environ 1 million d’ordinateurs Windows.

Asus vend beaucoup d’ordinateurs portables et Kaspersky indique qu’un nombre important de ces appareils ont été infectés par des malwares l’année dernière. Le code malveillant n’est pas parvenu sur ces machines via un site Web piraté ou une extension de navigateur. Non, Asus a propulsé le logiciel malveillant sur des centaines de milliers de machines après que les pirates aient pris le contrôle des serveurs de mise à jour de la société.

L’attaque, baptisée ShadowHammer, a touché plusieurs milliers d’ordinateurs, mais c’était une attaque très ciblée. Kaspersky a été informé de ce projet en janvier en mettant à jour ses outils d’analyse avec la technologie de détection de la chaîne logistique. Une attaque de la chaîne logistique consiste à associer des logiciels malveillants à des systèmes lors de leur fabrication, de leur vente ou via des systèmes de mise à jour des fournisseurs. ShadowHammer est resté longtemps sans être détecté car il n’a eu aucun effet immédiat sur la plupart des systèmes infectés. Les attaquants recherchaient environ 600 machines très spécifiques.

Selon Kaspersky, le programme malveillant est resté sur les machines environ cinq mois l’an dernier, de juin à novembre. Comme tout le reste distribué via l’outil Asus Live Update, les programmes étaient signés par Asus et approuvés automatiquement par le système. Le programme, appelé «ASUSFourceUpdater.exe», se présentait comme une mise à jour de l’outil Live Update, mais il s’agissait en fait d’une version plus ancienne du programme, qui était infectée par un logiciel malveillant. La Russie, l’Allemagne et la France étaient de loin les plus touchés par ShadowHammer, suivis de l’Italie et des États-Unis.

Après l’installation, le programme malveillant a analysé l’adresse MAC unique de la carte réseau de l’ordinateur, à la recherche d’une correspondance avec sa liste intégrée de 600 systèmes. Si le programme trouvait une correspondance, il contacterait un serveur de commande et de contrôle pour télécharger des programmes malveillants supplémentaires afin de prendre le contrôle de l’ordinateur. Les assaillants savaient donc à qui ils s’adressaient et lançaient le filet le plus large possible pour tenter de les rattraper. Les chercheurs de Kaspersky connaissent les adresses MAC ciblées, mais nous ne savons pas à qui appartiennent ces systèmes ni comment les attaquants ont appris leur ID matériel.

Kaspersky pense que ceux qui se trouvent derrière ShadowHammer ont également perpétré l’attaque de CCleaner en 2017. Cette campagne de programmes malveillants visait également Asus et pourrait permettre aux attaquants d’accéder aux serveurs Asus. Kaspersky publiera bientôt un rapport complet sur le malware, mais un message de synthèse est déjà disponible. Les chercheurs ont également mis en place une page où vous pouvez entrer votre adresse MAC pour voir si elle était sur la liste des cibles. Les outils de sécurité de Kaspersky détecteront et supprimeront également ShadowHammer.