Asus au cœur d’une nouvelle attaque sur la chaîne logistique

C’est en janvier que les chercheurs de Kaspersky ont découvert une vaste attaque sur la chaîne logistique, qu’ils ont appelée ShadowHammer. Selon eux, celle-ci remonte à l’an dernier et aurait démarré en juin 2018. Et elle est impressionnante à de nombreux égards.

Tout d’abord par son audace et sa portée : des attaquants ont dû pouvoir compromettre les serveurs de mises à jour d’Asus pour injecter du code malicieux au sein de l’utilitaire Asus Live Update, chargé de la mise à jour de pilotes, d’applications, mais aussi du microcode du BIOS et de l’UEFI. Kaspersky assure que la version vérolée de l’utilitaire a été installée par 57 000 de ses clients. Mais il estime que « l’étendue du problème est plus grande, et qu’il affecte potentiellement plus d’un million d’utilisateurs dans le monde entier ».

La Russie apparaît au premier rang des pays concernés, devant l’Allemagne (16 % des victimes connues) et la France (environ 13 %). Des chiffres à prendre avec précaution car « hautement influencés par la distribution des utilisateurs Kaspersky dans le monde ». Et l’éditeur de souligner que, « en principe, la distribution des victimes devrait être alignée sur la distribution des clients d’Asus à travers le monde ».

Symantec a indiqué à nos confrères de Motherboard qu’au moins 13 000 ordinateurs de ses clients ont également été concernés.

Mais voilà, l’objectif des attaquants n’était apparemment pas de lancer une vaste attaque aveugle de rançongiciel ou de mineur de crypto-deniers : l’opération était ciblée de manière « chirurgicale ». Car le code malicieux contenait une liste précise d’adresses MAC, l’identifiant d’une interface réseau. Kaspersky indique être parvenu à extraire « plus de 600 adresses MAC uniques de plus de 200 échantillons utilisés dans cette attaque ». Et de préciser qu’il est possible qu’il y ait d’autres échantillons taillés pour les adresses MAC sur des cibles différentes.

Cette impressionnante attaque sur la chaîne logistique IT fait suite à trois autres récentes : Dofoil, Ccleaner ou encore NotPetya. Et justement, pour Kaspersky, il y a un lien entre les attaques Ccleaner et Asus, notamment dans le modus operandi. Pour Costin Raiu, patron des équipes de recherche de l’éditeur russe, c’est donc vers le groupe nommé Barium par Microsoft qu’il pourrait convenir de se tourner. Selon lui, « les précédentes opérations de Barium sont potentiellement la source des adresses MAC visées dans cette attaque ».

Vitaly Kamluk indique quant à lui que les mises à jour diffusées par Asus sont désormais propres : « les attaquants semblent avoir arrêté cette activité en novembre 2018 et s’être tournés vers de nouvelles cibles ». Asus ne semble pas avoir fait preuve de beaucoup de coopération. Le constructeur n’a pas répondu aux questions de nos confrères de Motherboard. Prévenu courant janvier par Kaspersky, il a accepté une rencontre mi-février, mais a initialement rejeté l’hypothèse d’une compromission de ses serveurs.