Kaspersky Lab chercheurs ont fait une découverte alarmante. ASUS, un des plus grands fabricants d'ordinateurs, a été utilisé pour installer une porte dérobée malveillant sur les machines des clients.
L'installation a eu lieu l'an dernier après un pirate informatique compromis serveur pour l'outil de mise à jour du logiciel en direct du fabricant. Il semble que le fichier malveillant a été signé avec les certificats de ASUS légitimes, faire ressembler à des mises à jour de logiciels authentiques problèmes par la société.
Malicious Backdoor Installé sur un demi-million d'ordinateurs ASUS
Selon les chercheurs de Kaspersky, un demi-million d'ordinateurs Windows ont été affectés par la porte dérobée malveillant via le serveur de mise à jour ASUS. Il est curieux de noter que les attaquants semblent avoir pris pour cible seulement 600 de ces systèmes, rendant l'attaque ciblée. L'opération malveillant utilisé les adresses MAC des machines pour les cibler avec succès. Après les logiciels malveillants infiltrés dans un système, il communique avec le serveur de commande et de contrôle, qui a ensuite installé plus de logiciels malveillants.
L'attaque a été découvert en Janvier, peu de temps après Kaspersky a ajouté une nouvelle technologie de détection de la chaîne d'approvisionnement à son outil de balayage. Il semble que l'enquête est toujours en cours et les résultats complets et le papier technique sera publié au cours de SAS 2019 conférence, Kaspersky a déclaré dans son rapport qui a révélé quelques détails techniques sur l'attaque. L'attaque elle-même a été surnommé ShadowHammer.
L'objectif de l'attaque était de cibler chirurgicalement une piscine inconnue des utilisateurs, qui ont été identifiés par les adresses MAC de leurs cartes réseau. Pour y parvenir, les assaillants avaient une liste hardcoded d'adresses MAC dans les échantillons et cette liste cheval de troie a été utilisé pour identifier les cibles visées réelles de cette opération massive. Nous avons pu extraire plus 600 MAC unique adresse de plus 200 échantillons utilisés dans cette attaque. Bien sûr, il pourrait y avoir d'autres échantillons là-bas avec des adresses MAC dans leur liste.
Les chercheurs ont contacté ASUS et les a informés de l'attaque de Jan 31, 2019, soutenir leur investigation avec IOCs et les descriptions des logiciels malveillants. “Nous pensons que ce soit une attaque de la chaîne logistique très sophistiquée, qui correspond ou dépasse même les Shadowpad et les incidents dans la complexité et CCleaner techniques,” les chercheurs.