Environ 500 000 ordinateurs Asus sous Windows ont reçu une porte dérobée via l’outil Live Update : elle permettait de savoir si le PC avait une adresse MAC spécifique et, si c’était le cas, de télécharger des logiciels malveillants sur la machine. Asus a mis à jour le Live Update et a mis en place des mesures de sécurité pour éviter que cela ne se reproduise.
Selon Kaspersky Lab, les pirates ont placé une porte dérobée dans l’installateur de l’outil Live Update, qui apporte généralement les mises à jour des pilotes et des microprogrammes. Ils ont ensuite signé numériquement le fichier avec un certificat valide d’Asus lui-même, et ont piraté le serveur de la société distribuant le programme.
La porte dérobée a vérifié si l’ordinateur avait une adresse MAC unique ; dans ce cas, il a téléchargé un logiciel malveillant à partir d’un serveur ayant une adresse IP en Russie. Vous ne savez pas ce qu’il y avait dans ce logiciel malveillant. Kaspersky l’a appelé Operation ShadowHammer.
Selon Motherboard, la porte dérobée avait une liste de 600 adresses MAC spécifiques, et était destinée à infecter seulement un petit nombre de victimes. Pourtant, les chercheurs de Kaspersky estiment qu’un demi-million d’ordinateurs équipés de Windows ont reçu la porte dérobée entre juin et novembre. Live Update est installé par défaut sur les PC Asus.
Symantec explique à TechCrunch qu’il s’agissait d’une attaque contre la chaîne d’approvisionnement. On pense que les pirates informatiques ont eu accès aux certificats Asus par l’intermédiaire de développeurs de logiciels ou de fournisseurs de composants travaillant avec le fabricant ; cela est difficile à détecter.
Asus a également été lent à réagir. Kaspersky a informé la société le 31 janvier et a tenu une réunion en personne le 14 février. Depuis lors, elle n’a pas donné suite à l’affaire et n’a pas non plus averti les clients de ce qui s’était passé.
Asus corrige le manque de Live Update
Mardi (26), Asus s’est finalement manifesté, affirmant qu'”un petit nombre d’appareils” a reçu la porte dérobée par une attaque sophistiquée sur les serveurs de Live Update. Elle suggère qu’il s’agit d’une APT (Advanced Persistent Threat), c’est-à-dire d’une attaque lancée par des nations qui “ciblent certaines organisations ou entités internationales au lieu des consommateurs”.
Asus a mis à jour le Live Update (version 3.6.8) pour introduire “divers mécanismes de vérification de la sécurité” afin d’éviter toute altération à l’avenir, en plus de mettre en œuvre un mécanisme de cryptage de bout en bout.
Il existe également un outil de diagnostic pour vérifier si votre PC a été infecté ; s’il provient d’Asus, il suffit de le télécharger à partir de ce lien. La société affirme qu’elle contacte les utilisateurs concernés et qu’elle a mis à jour ses serveurs pour éviter que des attaques similaires ne se reproduisent à l’avenir.
Cela rappelle ce qui s’est passé avec CCleaner en 2017 : une version piratée a été distribuée pendant des semaines, jusqu’à ce que des chercheurs en sécurité découvrent la porte dérobée. Dans ce cas, l’attaque visait une vingtaine d’entreprises technologiques, dont Samsung, Google, Intel et Microsoft.
