Un logiciel malveillant, inoffensif dans la plupart des cas, s’active lorsqu’il est installé sur un tout petit nombre d’ordinateurs préalablement ciblés..
Des chercheurs en sécurité informatique ont découvert que des milliers d’ordinateurs de la marque Asus avaient été infectés par un virus à l’insu de leurs utilisateurs, a révélé lundi 25 mars le site spécialisé Motherboard.
Les pirates s’en sont d’abord pris à l’entreprise Asus elle-même afin de compromettre le processus qui permet à la société de mettre à jour à distance les logiciels présents sur les ordinateurs de sa marque.
Ces hackeurs, dont les motivations et l’identité précise sont inconnues, ont ensuite réussi à installer un programme malveillant en se faisant passer pour Asus. Le virus s’est retrouvé, entre juin et novembre 2018, sur des milliers d’ordinateurs à travers le monde. Kaspersky, l’entreprise de sécurité informatique à l’origine de la découverte, a baptisé cette opération « Shadow Hammer ».
Kaspersky, qui assure avoir présenté le résultat de ses recherches à Asus dès le mois de février, n’est pas parvenue à déterminer le nombre exact d’ordinateurs infectés, mais l’estime à environ un million.
« L’attaque sur nos serveurs Live Update a permis aux pirates informatiques de placer un code malveillant dans certains ordinateurs de nos clients pour cibler un groupe spécifique et limité d’utilisateurs. Notre service client Asus a pris contact avec les utilisateurs [concernés] pour les aider à éliminer tout potentiel risque de sécurité », a réagi de son côté Asus dans un communiqué transmis au Monde mardi 26 mars. Sis à Taïwan, Asus, fabricant d’ordinateurs de premier plan, avait démenti dans un premier temps avoir été compromis, selon Motherboard.
Pirates très compétents
Dans la plupart des cas, bien qu’il constituait une porte dérobée pour accéder à l’ordinateur infecté, le virus est resté inactif. Il ne prenait vie que dans une situation très précise : si l’ordinateur qu’il avait infecté faisait partie d’une liste d’environ six cents ordinateurs établie préalablement par les pirates. Dans ce cas, le virus évoluait et se dotait de nouvelles capacités.
Kaspersky n’a pas été en mesure d’étudier le virus déployé lors de cette deuxième phase ni ne sait qui figurait exactement dans la liste, mais explique que cette dernière était composée d’adresses MAC (pour « media access control »), un identifiant dont dispose chaque appareil informatique qui se connecte à Internet.
Deux éléments montrent que les pirates étaient extrêmement compétents et évolués. D’abord, l’obtention d’une liste d’adresses MAC n’est pas une mince affaire. Kaspersky ne précise pas comment cette liste a été établie. Ensuite, le type de piratage : infecter une entreprise tierce pour atteindre sa cible finale est une opération complexe.
Selon les premières observations des experts, les pirates pourraient être liés à une attaque assez similaire qui avait visé en 2017 le logiciel CCleaner. Ils avaient là aussi infecté l’entreprise qui proposait ce logiciel pour y dissimuler leur logiciel malveillant. Kaspersky suppute même que les deux attaques font partie de la même opération, l’offensive contre CCleaner ayant peut-être permis d’obtenir la fameuse liste d’adresses MAC ciblées.
Outil de diagnostic disponible
Les chercheurs de Kaspersky ont mis au point un portail permettant de vérifier si son ordinateur a été visé par la seconde phase du virus de l’attaque « Shadow Hammer ». Il faut cependant se munir de l’adresse MAC de son appareil.
Mardi 26 mars, Asus a de son côté précisé avoir « corrigé la dernière version du logiciel Live Update (ver. 3.6.8) en y introduisant notamment de multiples mécanismes de vérification sécuritaire empêchant toute manipulation malveillante sous la forme de mises à jour logicielles ou autre ». Le fabricant rapporte par ailleurs avoir « créé un outil de diagnostic sécuritaire en ligne afin de vérifier tous les systèmes impactés » :
« Nous encourageons les utilisateurs concernés à utiliser cet outil de diagnostic par mesure préventive. Celui-ci peut être téléchargé via le lien suivant. Nous invitons nos utilisateurs à contacter le service client Asus en cas d’interrogations supplémentaires. »
Bien que les pirates ayant visé Asus aient profité de systèmes de mises à jour des logiciels pour déployer leur virus, il reste, de manière générale, toujours hautement recommandé de mettre à jour ses appareils – téléphones, ordinateurs, tablettes… – dès qu’il est possible de le faire. Bien que les pirates aient profité de systèmes de mises à jour des logiciels pour déployer leur virus, il est toujours hautement recommandé de mettre à jour ses appareils – téléphones, ordinateurs, tablettes… – dès qu’il est possible de le faire. L’attaque « Shadow Hammer » est l’équivalent de se faire renverser par un chauffard alors que l’on emprunte un passage piéton au feu vert : cela ne signifie pour autant pas qu’il faut désormais ignorer la signalisation.