Accueil Cybersécurité Attaque APT sur les serveurs de mise à jour Asus : le...

Attaque APT sur les serveurs de mise à jour Asus : le fabriquant taïwanais reconnait l’attaque et prend des mesures

Asus Zenbook UX302LA

Au cours des dernières heures, des centaines de milliers d’ordinateurs Asus, voire 1 million, ont été victimes d’un piratage informatique au niveau de la gestion de la chaîne d’approvisionnement.

L’éditeur en cybersécurité russe Kaspersky, ainsi que Symantec, ont sonné l’alarme : le fabriquant taiwanais Asus a été victime d’un piratage : des logiciels malveillants ont été installés sur des milliers d’ordinateurs en exploitant le système de mise à jour, via les serveurs d’Asus dédiés à cette tâche entre juin et novembre 2018.

Le système de mise à jour infecté

Ce système de mise à jour, ASUS Live Update, est un logiciel propriétaire intégré aux notebooks Asus pour maintenir les pilotes et firmwares Asus à jour, nous précise le fabriquant Asus que nous avons contacté. Il ajoute, confirmant l’attaque : “L’attaque APT sur nos serveurs Live Update a permis aux pirates informatiques de placer un code malveillant dans certains ordinateurs de nos clients pour cibler un groupe spécifique et limité d’utilisateurs“. La porte dérobée était cachée dans un fichier de mise à jour – Setup.exe – signé avec le certificat numérique d’Asus. Les utilisateurs n’y auraient donc vu que du feu, pensant ce certificat “légitime”. 

Kaspersky, qui nomme cette attaque “ShadowHammer cyberattack”, a détecté 57 000 infections chez ses clients, en Russie (environ 18%), en Allemagne (16%) et en France (environ 13%). Symantec en compte 13 000. Le nombre total de machines infectées est pour le moment inconnu, mais les chercheurs de Kaspersky estiment qu’il est de l’ordre d’un million. Selon Kasperky, le code malveillant aurait été activé sur 600 ordinateurs seulement, via un second logiciel malveillant.

Les mesures à prendre

L’éditeur propose en ligne un outil pour savoir si votre ordinateur est concerné. Le service client Asus a, de son côté, “pris contact avec les utilisateurs impactés pour les aider à éliminer tout potentiel risque de sécurité“, nous assure-t-il. Il a aussi “créé un outil de diagnostic sécuritaire en ligne afin de vérifier tous les systèmes impactés“. Le fabriquant encourage les utilisateurs “à utiliser cet outil de diagnostic par mesure préventive“. Il peut être téléchargé ici.

Asus indique avoir corrigé la dernière version du logiciel Live Update (ver. 3.6.8) en y introduisant notamment de “multiples mécanismes de vérification sécuritaire empêchant toute manipulation malveillante sous la forme de mises à jour logicielles ou autre. Nous avons en outre mis en place un mécanisme avancé de chiffrement de bout en bout. En parallèle, nous avons mis à jour puis renforcé l’architecture logicielle de nos serveurs pour empêcher toute nouvelle tentative d’attaque.” 

Une attaque ciblée

Nous ne saurons pas le pourquoi de cette attaque ciblée. Asus indique sans donner plus de détails, laissant sur notre faim, que ces attaques APT “sont généralement perpétrées par certains gouvernements visant des organisations ou entités internationales plutôt que les utilisateurs grand public.” Selon Justin Fier, directeur du cyber-renseignement et de l’analyse chez Darktrace, “cette nouvelle attaque utilisant le matériel Asus est parfaitement emblématique du nouveau cyber-monde dans lequel nous vivons. Elle présente toutes les caractéristiques d’une opération bien planifiée : elle est très ciblée, exige beaucoup de ressources et presque impossible à détecter”. Qui en est à l’origine ?  “Tout acteur menaçant aurait besoin de ressources et d’un soutien considérables pour acquérir les certificats authentiques d’Asus afin de faire son entrée dans la chaîne logistique, avance-t-il. Cela initie bien sûr le jeu qui consiste à deviner qui pourrait être derrière la campagne et il n’est pas exagéré de prétendre que des États manquant de lois sur les cyber-infractions et hébergeant des réseaux internationaux de cyber-crimes pourraient être à l’origine de cette activité.”. Il s’interroge :Y aura-t-il des attaques similaires contre Dell et Apple ?’