ShadowHammer : Attaque de virus à travers les serveurs ASUS

Kaspersky a dévoilé aujourd’hui une attaque complexe intitulée Operation ShadowHammer.
Cette attaque utilisant plusieurs logiciels malveillants s’est appuyée sur les serveurs ASUS et le logiciel ASUS Live Update Utility pour s’introduire sur des milliers d’ordinateurs de part le monde.

Voici quelques informations autour de cette attaque et les manières pour vérifier si votre ordinateur ASUS est infecté.

Introduction

ASUS est un constructeur de matériel informatique et électronique très connus.
Cette entreprise taïwanaise construit des cartes mères, des cartes vidéos et assemblent aussi des composants informatique pour proposer des ordinateurs portables ou de bureaux.
En 2018, ASUS s’est classé 6e des plus importants assembleurs d’ordinateurs avec 6.0% de parts de marché.

Pour maintenir à jour les logiciels pré-installés sur les ordinateurs ASUS, l’entreprise propose un logiciel ASUS Live Update qui se connecte aux serveurs périodiquement.
Si une mise à jour d’un logiciel pré-installés ou du BIOS est détecté, le programme télécharge et applique la mise à jour.

Depuis plusieurs mois les serveurs ASUS ont été infiltrées pour utiliser ce mécanisme afin de télécharger et installer des cheval de troie sur divers ordinateurs de part le monde.

L’attaque ShadowHammer

Nous en sommes pour le moment au début des révélations et de l’enquêtes, de nouvelles informations sont à venir ces prochaines semaines.

Une attaque très ciblée

Kaspersky a découvert cette attaque informatique en Janvier 2019 alors qu’elle se déroulait déjà plusieurs mois.

Les chercheurs estiment qu’un demi-million de machines Windows ont reçu la backdoor malveillante via le serveur de mise à jour ASUS, bien que les attaquants ne ciblent apparemment que 600 de ces systèmes.

En effet, le logiciel malveillant a recherché des systèmes ciblés via leurs adresses MAC uniques. Une fois sur un système, s’il trouvait l’une de ces adresses ciblées, le programme malveillant s’est adressé à un serveur de commande et de contrôle exploité par les attaquants, qui a ensuite installé un logiciel malveillant supplémentaire sur ces ordinateurs.

Il s’agit donc d’une attaque ciblée bien que des milliers d’ordinateurs ont pu être compromis.

Kaspersky dit avoir détecté 57 000 ordinateurs compromis protégés par ce dernier.
Symantec a confirmé l’existence de cette attaque avec 13 000 ordinateurs touchés.

D’après les premiers éléments, la Russie est le premier pays touché et la France se place en 3e position.

ShadowHammer
Les pays les plus touchés par l’attaque ShadowHammer

Il faut noter que Kaspersky est très présent en Russie, d’où le pourcentage probablement élevé de ces détections pour ce pays.
Pour une meilleure idée de la répartition, il faudra attendre les chiffres des autres éditeurs de sécurité.

Une attaque sophistiquée et ancienne

Il s’agit aussi d’une attaque sophistiquée qui pour se rendre invisible des antivirus a utilisé des fichiers signés par ASUS.
En effet, les antivirus cherchent plutôt des fichiers non signés indiquant que ces fichiers ne proviennent pas d’entités et entreprises connues.

Le fait d’utiliser des fichiers signés rend ainsi la détection de logiciels malveillants plus difficiles car ils font l’objet de moins de surveillance étant donnée que la source est connue.
Plus d’informations sur notre article : Signature numérique des fichiers sur Windows et sécurité

Deux certificats ASUS ont été utilisées par cette attaque dont un qui périmait en 2018

Fichiers malveillants signés par ASUS
Fichiers malveillants signés par ASUS

D’après les premiers éléments de Kaspersky, l’attaque aurait pu début depuis 2017 en lien avec ShadowPad.
Il s’agit d’un incident de la compromission d’un logiciel de gestion de serveur utilisé comme point de départ pour s’introduit dans des réseaux.

Sur le forum Reddit, on trouve des utilisateurs se posant des questions sur des fenêtres de mises à jour ASUS « ASUS Critical Update Notification » en lien avec cette attaque.
Ce message date de Juin 2018

Fausse mise à jour ASUS en lien avec ShadowHammer
Fausse mise à jour ASUS en lien avec ShadowHammer

On trouve aussi des vestiges de personnes se posant des question sur ASUSFourceUpdater sur le forum Norton.

Le fait que le fichier est signé permet de dissimuler l’attaque et fait penser qu’il s’agit d’un fichier légitime.
De plus le fichier était sain à l’époque sur VirusTotal.

Quelques éléments techniques

Le serveur de contrôle du malware se trouve à l’adresse asushotfix.com
Là aussi, le but est de se faire passer par ASUS.

Vérifiez la présence de ASUSFourceUpdater.exe dans C:\Program Files (x86)\ASUS\ASUS Manager\Application Update

Kaspersky détecte le malware en HEUR:Trojan.Win32.ShadowHammer.gen alors que du côté de ESET NOD32, on aura du Win32/ShadowHammer.A.

Enfin Kaspersky devrait donner plus d’informations techniques d’ici quelques temps concernant cette attaque.

Vérifier son ordinateur

Kaspersky a produit un utilitaire qui permet de vérifier si son ordinateur a été la cible de l’attaque.
Il s’agit simplement de savoir si l’adresse MAC de votre carte réseau est dans la liste des cibles.

2 minutes 2 minutes.

  1. Télécharger ShadowHammer

    Voici le lien de téléchargement : Outil de détection ShadowHamme

  2. Lancer la vérification

    Il s’agit d’un zip contenant shadowhammer.exe à exécuter.
    Si un popup « Your machine is not affected » s’affiche alors tout va bien.

Pour ceux et celles qui ne veulent rien télécharger, unev érification en ligne de votre adresse MAC est possible depuis le site : https://shadowhammer.kaspersky.com/

Rappelons que la commande ipconfig permet de récupérer les adresses MAC des interfaces réseaux.

Vérification en ligne ShadowHammer
Vérification en ligne ShadowHammer

En cas de doute, nous recommandons une vérification de votre ordinateur par des outils Kaspersky : Désinfecter Windows avec Kaspersky

Conclusion

On retrouve ici le même schéma d’attaque qu’avec CCleaner : CCleaner : Un Code malveillant découvert (Trojan.floxif)
La compromission de serveurs d’entreprises et l’utilisation de logiciels incluent sur des milliers d’ordinateurs servant de tremplin pour installer des logiciels malveillants.

Ici aussi les cybercriminels à l’origine de l’attaque semblent viser des ordinateurs en particulier.

Pour le moment, nous en sommes qu’au début des révélations et enquête, il faudra attendre aussi la réaction des autres éditeurs de sécurité pour avoir une idée générale et aspecte de cette attaque.

(Visité 1 176 fois, 1 visites ce jour)