La principale nouvelle de la semaine dernière est une attaque ciblée contre les propriétaires d'appareils Asus via l'utilitaire piraté Asus Live Update. Les chercheurs de Kaspersky Lab ont trouvé une attaque en janvier de cette année: un
utilitaire infecté pour mettre à jour les pilotes sur les ordinateurs portables et les ordinateurs avec des composants Asus a été signé avec un certificat légitime et distribué depuis les serveurs du fabricant. La modification de l'utilitaire a fourni aux crackers un accès complet à tous les systèmes concernés, mais ils n'ont profité de cette opportunité que lorsque l'adresse MAC de l'un des adaptateurs réseau du système correspondait à la liste des systèmes d'intérêt.
Dans ce cas, des logiciels malveillants supplémentaires ont été téléchargés à partir du serveur créé en mars 2018 et ont cessé de fonctionner avant la détection de l'attaque - pour le moment, à des fins inconnues. L'attaque est remarquable pour sa complexité et sa furtivité. Très probablement, elle a été précédée d'événements de plus grande envergure dans le but de collecter des informations et d'identifier les victimes «prometteuses». Bien qu'il soit trop tôt pour parler de l'attribution exacte d'une attaque, il existe des preuves la liant à des incidents antérieurs avec l'utilitaire
CCleaner 2017. Une enquête complète sur l'attaque sera publiée la semaine prochaine et présentée lors de la conférence Kaspersky Lab
Security Analyst Summit . Dans cet article - une brève description de l'incident et quelques conclusions.
Sources primaires:
nouvelles ,
extraits d'une étude de Kaspersky Lab, un article détaillé sur la
carte mère , une
déclaration officielle d'Asus. Vous pouvez vérifier l'adresse MAC de votre appareil Asus en utilisant
ce service en ligne.
Qu'est-il arrivé?
De juin à novembre 2018, une version infectée de l'utilitaire Asus Live Update a été distribuée à partir des serveurs Asus. Le programme est préinstallé sur les ordinateurs portables de ce fabricant, mais est également disponible pour les propriétaires d'ordinateurs basés sur les cartes mères Asus. Il vous permet de télécharger les derniers BIOS, micrologiciels et pilotes de périphérique et de les installer automatiquement. L'application malveillante a été téléchargée sur les serveurs du fournisseur, signée par les certificats légitimes de l'entreprise, et distribuée en tant que mise à jour du programme. Reddit a une
discussion sur le comportement étrange de l'utilitaire, bien qu'il n'ait pas encore été établi si l'incident mentionné dans le fil est associé à cette attaque.
Bien que l'utilitaire ait été «mis à jour», il s'agissait en fait d'une version obsolète du programme avec des fonctionnalités malveillantes supplémentaires (une analyse du code malveillant effectuée par un chercheur indépendant est
ici ). On peut conclure que l'infrastructure Asus était partiellement compromise: les attaquants avaient accès au serveur de mise à jour et aux certificats numériques, mais pas au code source de l'application et aux serveurs de build. La détection d'un utilitaire malveillant a été rendue possible grâce aux tests d'une nouvelle technologie visant à détecter les attaques dans la chaîne d'approvisionnement (en anglais - la chaîne d'approvisionnement) - lorsque les attaquants attaquent en quelque sorte des logiciels ou du matériel avant d'être livrés au consommateur final victime, ou qu'ils compromettent les outils de service et gestion des appareils pendant le fonctionnement - ceux qui sont habituels à faire confiance.
Qui fait mal
Si vous comptez tous ceux qui ont volé l'utilitaire «avec un appendice», alors des dizaines de milliers d'utilisateurs ont été touchés, la plupart venant de Russie, d'Allemagne et de France. Mais ce n'est que selon Kaspersky Lab. Plus tard, Symantec a fourni ses propres données - elles comptaient 13 000 systèmes infectés, avec
une plus grande part d'utilisateurs américains. Ce n'est clairement pas le cas, le logiciel malveillant était probablement sur des centaines de milliers de systèmes. Mais sur la plupart des ordinateurs attaqués, l'utilitaire n'a rien fait, il n'a vérifié les adresses MAC qu'avec sa propre base de données. En cas de coïncidence du serveur de commandes (le domaine asushotfix [.] Com y a été enregistré), un logiciel supplémentaire a été chargé. Dans certains cas, le déclencheur était une combinaison des adresses MAC des modules de réseau câblé et sans fil.
À partir de deux cents échantillons de l'utilitaire infecté, nous avons réussi à extraire environ 600 adresses MAC des systèmes visés par l'attaque ShadowHammer. Ce qui a ensuite été fait avec eux n'est pas encore clair: le serveur de commandes a cessé de fonctionner jusqu'à ce que les chercheurs découvrent l'attaque. Les faits connus s'arrêtent là, les conclusions commencent.
La complexité de l'attaque n'est désormais guère surprenante; il existe des exemples d'attaques ciblées avec des investissements beaucoup plus importants en R&D. Une caractéristique importante de l'opération ShadowHammer est qu'il s'agit d'une attaque réussie de la chaîne d'approvisionnement. Le logiciel infecté est distribué à partir des serveurs du fabricant, signé par le certificat du fabricant - côté client, il n'y a aucune raison de ne pas faire confiance à un tel scénario. Dans ce cas, nous avons affaire à un utilitaire préinstallé, mais auparavant, d'autres programmes que l'utilisateur installe habituellement seul ont également été attaqués avec succès. Les experts de Kaspersky Lab ont des raisons de croire que la nouvelle attaque ShadowHammer est liée à deux incidents il y a deux ans.
Dans le premier cas, l'utilitaire CCleaner mentionné ci-dessus a été modifié, il a également été distribué depuis les serveurs du constructeur. Dans le deuxième cas, le fabricant de logiciels de gestion des appareils dans le réseau d'entreprise NetSarang a été attaqué. Il est possible qu'il y ait eu d'autres attaques au cours desquelles les attaquants ont collecté les adresses MAC des ordinateurs présentant un intérêt pour les victimes. Dans cette histoire, il y a un indice de l'une des vraies raisons de l'infection de masse des appareils IoT - caméras IP, routeurs, etc. Il n'est pas toujours possible d'accéder aux données d'intérêt via un appareil infecté, mais suffisamment d'informations peuvent être collectées pour être utilisées lors de la prochaine opération plus ciblée.
Bien sûr, la question se pose de faire confiance aux fabricants de matériel et de logiciels: si une mise à jour logicielle ou un pilote arrive d'un fournisseur, est-ce sûr ou non? Peut-être avez-vous encore besoin de faire confiance, sinon le point de vulnérabilité peut simplement se déplacer vers un autre endroit. Une réponse rapide de ces incidents par le fabricant est également la bienvenue. Dans le cas d'Asus, selon Kaspersky Lab, près de deux mois se sont écoulés entre la première notification (fin janvier) et la confirmation officielle du problème (26 mars). Je me demande quelles technologies seront utilisées pour détecter rapidement de telles attaques? Il y a quelque chose sur lequel travailler pour les fabricants de logiciels de sécurité et les fournisseurs. Il existe encore peu de cas d'utilisation d'un certificat légitime pour signer des logiciels malveillants, mais la simple présence d'une signature numérique ne peut plus être le seul critère d'évaluation des logiciels.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.