in

Opération ShadowHammer : Une nouvelle attaque contre la supply chain menace des centaines de milliers d’utilisateurs dans le monde

Kaspersky Lab a mis au jour une nouvelle campagne APT (menace persistante avancée) touchant un grand nombre d’utilisateurs à travers une attaque contre la supply chain. Nos recherches révèlent que les acteurs malveillants qui se cachent derrière l’opération ShadowHammer ont ciblé des utilisateurs de l’outil de mise à jour ASUS LiveUpdate, en y injectant un backdoor, au moins entre juin et novembre 2018. Les experts de Kaspersky Lab estiment que l’attaque peut avoir touché plus d’un million d’utilisateurs dans le monde.

L’attaque contre la supply chain est l’un des vecteurs d’infection les plus dangereux et efficaces, de plus en plus exploité dans des opérations avancées ces dernières années, à l’exemple de ShadowPad ou CCleaner. Ce type d’attaque cible des faiblesses spécifiques dans les systèmes interconnectés de ressources humaines, organisationnelles, matérielles et intellectuelles intervenant dans le cycle de vie des produits, depuis le développement initial jusqu’à l’utilisateur final. S’il est possible de sécuriser l’infrastructure d’un fournisseur, il peut cependant exister des vulnérabilités sur les sites de ses sous-traitants, permettant de saboter la supply chain et aboutissant à un piratage aussi dévastateur qu’inattendu.

Les auteurs de ShadowHammer ont employé l’outil de mise à jour ASUS LiveUpdate comme source initiale de l’infection. Il s’agit d’un logiciel préinstallé sur la plupart des ordinateurs ASUS récents et destiné à la mise à jour automatique du BIOS, de l’UEFI, des pilotes et des applications. En volant des certificats numériques utilisés par ASUS pour signer des fichiers binaires légitimes, les assaillants ont altéré d’anciennes versions du logiciel ASUS pour y injecter leur propre code malveillant. Des versions de l’outil, infectées par un cheval de Troie, ont été signées au moyen de certificats légitimes puis hébergées et diffusées par les serveurs officiels ASUS de mise à jour, ce qui les a rendues essentiellement invisibles pour la grande majorité des solutions de protection.

Alors que potentiellement chaque utilisateur du logiciel concerné pourrait en avoir été victime, les auteurs de ShadowHammer se sont concentrés sur quelques centaines d’utilisateurs, au sujet desquels ils avaient préalablement recueilli des informations. Comme l’ont découvert les chercheurs de Kaspersky Lab, chaque code de backdoor intégrait une table d’adresses MAC, c’est-à-dire l’identifiant distinctif de la carte d’interface servant à connecter un ordinateur à un réseau. Une fois exécuté sur la machine d’une victime, le backdoor vérifiait la présence de son adresse MAC dans cette table, auquel cas le malware téléchargeait la séquence suivante de code malveillant. Dans le cas contraire, l’outil de mise à jour infiltré ne présentait aucune activité sur le réseau, raison pour laquelle il n’a pas été découvert pendant une période aussi longue. Au total, les experts en sécurité ont pu identifier plus de 600 adresses MAC répertoriées. Celles-ci ont été ciblées par au moins 230 échantillons de backdoor comportant différents codes shell.

Les caractéristiques modulaires du malware, ainsi que les précautions supplémentaires prises lors de son exécution afin de prévenir la fuite accidentelle de code ou de données, indiquent qu’il était très important pour les auteurs de cette attaque complexe de passer inaperçus, tout en frappant certaines cibles très spécifiques avec une précision chirurgicale. Une analyse technique approfondie révèle que l’arsenal employé est très évolué et témoigne d’un très haut niveau de développement au sein du groupe d’assaillants.

La recherche de malwares similaires a fait apparaître des logiciels de trois autres fournisseurs asiatiques, tous infectés par des backdoors aux méthodes et techniques très voisines. Kaspersky Lab a signalé le problème à ASUS et aux autres entreprises concernées.

« Les fournisseurs visés sont des cibles extrêmement attrayantes pour les groupes APT, désireux de tirer profit de leur vaste clientèle. L’objectif ultime des assaillants n’est pas encore très clair et nous continuons de chercher qui se cache derrière l’attaque. Cependant, les techniques employées pour exécuter du code non autorisé ainsi que les autres éléments découverts laissent penser que ShadowHammer est probablement lié à l’APT BARIUM, elle-même précédemment en relation avec les incidents ShadowPad et CCleaner, entre autres. Cette nouvelle campagne est un exemple de plus du mode opératoire d’une attaque ingénieuse, sophistiquée et dangereuse contre la supply chain de nos jours », commente Vitaly Kamluk, Directeur de l’équipe GReAT Asie-Pacifique chez Kaspersky Lab.

Tous les produits Kaspersky Lab détectent et bloquent avec succès le malware utilisé dans l’opération ShadowHammer.

Pour vous éviter d’être victime d’une attaque ciblée provenant d’un acteur malveillant connu ou non, les chercheurs de Kaspersky Lab vous recommandent les précautions suivantes :

  • En plus d’une indispensable protection de pour vos postes de travail, déployez une solution de sécurité d’entreprise, capable de détecter les menaces avancées en amont au niveau du réseau, telle que Kaspersky Anti Targeted Attack Platform.
  • Pour la détection, l’investigation et la correction rapide des incidents au niveau des postes de travail, nous préconisons d’installer des solutions EDR telles que Kaspersky Endpoint Detection & Response ou de prendre contact avec une équipe professionnelle de réponse aux incidents.
  • Intégrez des flux de veille des menaces dans votre système SIEM et vos autres dispositifs de sécurité pour accéder aux données les plus pertinentes et à jour dans ce domaine afin de vous préparer à de futures attaques.

 

Kaspersky Lab présentera l’ensemble de ses recherches sur l’opération ShadowHammer lors du Security Analyst Summit 2019 qui se déroulera à Singapour du 9 au 11 avril.

Un rapport complet sur la campagne ShadowHammer est d’ores et déjà accessible aux clients du service Kaspersky Intelligence Reporting.

Un billet de blog résumant l’attaque ainsi qu’un outil spécial permettant de vérifier si les machines des utilisateurs ont été ciblées sont également disponibles sur le site Securelist.

L’outil de vérification est par ailleurs disponible sur un site web distinct.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.