A la Une

Une nouvelle attaque de la chaîne d’approvisionnement menace des centaines de milliers d’utilisateurs dans le monde entier

Chaque code de porte dérobée contenait une table d’adresses MAC codées en dur.

Une attaque de la chaîne logistique est l’un des vecteurs d’infection les plus dangereux et les plus efficaces, de plus en plus exploité dans les opérations de pointe.

Kaspersky Lab a découvert une nouvelle campagne de menace persistante avancée (APT) qui a touché un grand nombre d’utilisateurs par le biais d’une attaque dite de la chaîne logistique. Notre étude a révélé que les acteurs de la menace ayant participé à l’opération ShadowHammer avaient ciblé les utilisateurs de l’utilitaire ASUS Live Update en y insérant une porte dérobée au moins entre juin et novembre 2018. Les experts de Kaspersky Lab estiment que l’attaque aurait touché plus d’un million d’utilisateurs dans le monde.

Une attaque de la chaîne logistique est l’un des vecteurs d’infection les plus dangereux et les plus efficaces, de plus en plus exploité dans les opérations de pointe ces dernières années – comme nous l’avons vu avec ShadowPad ou CCleaner. Il cible les faiblesses spécifiques des systèmes interconnectés de ressources humaines, organisationnelles, matérielles et intellectuelles impliquées dans le cycle de vie du produit: de la phase de développement initiale à l’utilisateur final. Bien que l’infrastructure d’un fournisseur puisse être sécurisée, certaines installations de ses fournisseurs pourraient comporter des vulnérabilités qui saboteraient la chaîne d’approvisionnement, ce qui entraînerait une violation des données dévastatrice et inattendue.

Les acteurs derrière ShadowHammer ont ciblé ASUS Live Update Utility comme source initiale d’infection. Il s’agit d’un utilitaire préinstallé dans la plupart des nouveaux ordinateurs ASUS, pour les mises à jour automatiques du BIOS, de l’UEFI, des pilotes et des applications. En utilisant des certificats numériques volés utilisés par ASUS pour signer des fichiers binaires légitimes, les attaquants ont altéré des versions antérieures du logiciel ASUS, en injectant leur propre code malveillant. Les versions Trojanized de l’utilitaire étaient signées avec des certificats légitimes. Elles étaient hébergées et distribuées à partir de serveurs de mise à jour ASUS officiels, ce qui les rendait pratiquement invisibles pour la grande majorité des solutions de protection.

Bien que cela signifie que potentiellement chaque utilisateur du logiciel affecté aurait pu devenir une victime, les acteurs derrière ShadowHammer se concentraient sur l’accès à plusieurs centaines d’utilisateurs, qu’ils connaissaient déjà. Comme l’ont découvert les chercheurs de Kaspersky Lab, chaque code de porte dérobée contient un tableau des adresses MAC codées en dur, l’identifiant unique des adaptateurs réseau utilisés pour connecter un ordinateur à un réseau. Une fois exécutée sur le périphérique de la victime, la porte dérobée vérifiait son adresse MAC par rapport à cette table. Si l’adresse MAC correspond à l’une des entrées, le logiciel malveillant télécharge la prochaine étape du code malveillant. Autrement, le programme de mise à jour infiltré ne présentait aucune activité sur le réseau, raison pour laquelle il n’a pas été découvert pendant si longtemps. Au total, les experts en sécurité ont pu identifier plus de 600 adresses MAC. Celles-ci ont été ciblées par plus de 230 exemples de porte dérobée uniques avec différents shellcodes.

L’approche modulaire et des précautions supplémentaires sont prises lors de l’exécution du code, afin de prévenir les fuites accidentelles de code ou de données, il était donc très important que les acteurs à l’origine de cette attaque sophistiquée restent non détectés tout en atteignant certaines cibles très précises avec une précision chirurgicale. Une analyse technique approfondie montre que l’arsenal des attaquants est très avancé et reflète un niveau de développement très élevé au sein du groupe.

La recherche de logiciels malveillants similaires a révélé des logiciels de trois autres fournisseurs asiatiques, tous dotés de méthodes et de techniques similaires. Kaspersky Lab a signalé le problème à Asus et à d’autres fournisseurs.

Tous les produits de Kaspersky Lab ont réussi à détecter et à bloquer les logiciels malveillants utilisés dans Operation ShadowHammer.

Afin d’éviter d’être victime d’une attaque ciblée par un acteur connu ou inconnu, les chercheurs de Kaspersky Lab recommandent de prendre les mesures suivantes:

Outre l’adoption de la protection indispensable des terminaux, implémentez une solution de sécurité de niveau entreprise qui détecte très tôt les menaces avancées au niveau du réseau, telles que Kaspersky Anti Targeted Attack Platform;

Pour la détection au niveau des points de terminaison, les enquêtes et la résolution rapide des incidents, nous vous recommandons de mettre en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response ou de contacter une équipe professionnelle de réponse aux incidents.

Intégrez les flux Threat Intelligence à votre SIEM et à d’autres contrôles de sécurité afin d’avoir accès aux données de menace les plus pertinentes et les plus à jour et de vous préparer à de futures attaques.

Traduction : Jean de Dieu MOSSINGUE

MIRASTNEWS

Source : DECCAN Chronicle

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :