ShadowHammer, une attaque contre les utilisateurs de l’application ASUS LiveUpdate

Kaspersky Lab nous informe d’une nouvelle campagne APT (menace persistante avancée) touchant un grand nombre d’utilisateurs de l’application Asus LiveUpdate.

Les pirates cachés derrière l’opération ShadowHammer ont ciblé les utilisateurs de l’outil de mise à jour ASUS LiveUpdate. L’application a été infectée par un backdoor entre juin et novembre 2018. Selon Kaspersky Lab l’attaque peut avoir touché plus d’un million de personne dans le monde.

Le géant de la sécurité nous précise

« L’attaque contre la supply chain est l’un des vecteurs d’infection les plus dangereux et efficaces, de plus en plus exploité dans des opérations avancées ces dernières années, à l’exemple de ShadowPad ou CCleaner. Ce type d’attaque cible des faiblesses spécifiques dans les systèmes interconnectés de ressources humaines, organisationnelles, matérielles et intellectuelles intervenant dans le cycle de vie des produits, depuis le développement initial jusqu’à l’utilisateur final. S’il est possible de sécuriser l’infrastructure d’un fournisseur, il peut cependant exister des vulnérabilités sur les sites de ses sous-traitants, permettant de saboter la supply chain et aboutissant à un piratage aussi dévastateur qu’inattendu. »

ShadowHammer et l’outil Asus LiveUpdate

Les auteurs de ShadowHammer ont exploité l’outil de mise à jour ASUS LiveUpdate. Il a été utilisé comme la source initiale de l’infection. Cette application est préinstallée sur la plupart des ordinateurs ASUS récents. Son objectif est d’assurer une mise à jour simple et rapide de la machine. Cela le BIOS, l’UEFI, les pilotes et les applications « maison ».

L’astuce des pirates est d’avoir voler des certificats numériques utilisés par le constructeur. Ainsi des versions infectées par un cheval de Troie épaulées de ces certificats légitimes ont pu être hébergées et diffusées par les serveurs officiels du constructeur ASUS.

Vitaly Kamluk, Directeur de l’équipe GReAT Asie-Pacifique chez Kaspersky Lab.ajoute

« Les fournisseurs visés sont des cibles extrêmement attrayantes pour les groupes APT, désireux de tirer profit de leur vaste clientèle. L’objectif ultime des assaillants n’est pas encore très clair et nous continuons de chercher qui se cache derrière l’attaque. Cependant, les techniques employées pour exécuter du code non autorisé ainsi que les autres éléments découverts laissent penser que ShadowHammer est probablement lié à l’APT BARIUM, elle-même précédemment en relation avec les incidents ShadowPad et CCleaner, entre autres. Cette nouvelle campagne est un exemple de plus du mode opératoire d’une attaque ingénieuse, sophistiquée et dangereuse contre la supply chain de nos jours ».

Enfin Kaspersky Lab recommande les précautions suivantes

• En plus d’une indispensable protection de pour vos postes de travail, déployez une solution de sécurité d’entreprise, capable de détecter les menaces avancées en amont au niveau du réseau, telle que Kaspersky Anti Targeted Attack Platform.
• Pour la détection, l’investigation et la correction rapide des incidents au niveau des postes de travail, nous préconisons d’installer des solutions EDR telles que Kaspersky Endpoint Detection & Response ou de prendre contact avec une équipe professionnelle de réponse aux incidents.
• Intégrez des flux de veille des menaces dans votre système SIEM et vos autres dispositifs de sécurité pour accéder aux données les plus pertinentes et à jour dans ce domaine afin de vous préparer à de futures attaques.

Vous trouverez ici un outil de vérification permettant de savoir si votre PC a été une cible.