IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des pirates ont détourné le système de mise à jour logicielle d’ASUS pendant plusieurs mois


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mars 2017
    Messages
    1 177
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2017
    Messages : 1 177
    Points : 78 723
    Points
    78 723
    Par défaut Des pirates ont détourné le système de mise à jour logicielle d’ASUS pendant plusieurs mois
    Des pirates ont détourné le système de mise à jour logicielle d’ASUS pendant plusieurs mois
    Pour installer une porte dérobée sur des milliers de PC

    Des pirates ont réussi à installer des logiciels malveillants à plus d’un million de propriétaires de PC de la marque Asus l’année dernière en exploitant le système de mise à jour logicielle du fabricant (l’utilitaire ASUS Live Update), ont récemment révélé des chercheurs en sécurité. ASUS Live Update est un utilitaire préinstallé sur la plupart des ordinateurs de la marque qui est utilisé pour mettre à jour automatiquement certains composants tels que les BIOS, les pilotes et les applications.

    Nom : Signed ASUS Live Update setup installer.png
Affichages : 6787
Taille : 77,8 Ko

    Les experts de Kaspersky Lab, une entreprise de cybersécurité basée à Moscou, qui l’ont découverte ont surnommé cette campagne de cyber espionnage : opération ShadowHammer. D’après la société russe de cyberdéfense, l’opération ShadowHammera qui s’est déroulée entre juin et novembre 2018 reposait sur la diffusion d’une version piratée de l’utilitaire ASUS Live Update aux utilisateurs de PC ASUS dans le but d’introduire des portes dérobées qui devaient permettre aux attaquants d’accéder plus tard et en toute discrétion aux machines infectées. L’opération ShadowHammer vient s’ajouter à la longue liste de programmes / campagnes d’espionnage qu’on désigne également APT (Advanced persistent threat) ayant déjà été mis en évidence par la firme de sécurité russe qui a été quasiment bannie du marché américain.

    L’équipe internationale de recherche et d’analyse (GReAT) de Kaspersky Lab a recensé au moins 15 pays touchés par cette campagne de cyber espionnage, avec la Russie, l’Allemagne, la France, l’Italie et les États-Unis tête de liste. La société a estimé que plus de 57 000 de ses utilisateurs avaient téléchargé et installé la mise à jour logicielle compromise d’Asus. Elle précise qu’il y avait plusieurs versions des binaires infectés d’ASUS Live Update en circulation ciblant chacun « un pool inconnu d’utilisateurs identifiés par l’adresse MAC de leur adaptateur réseau ».

    Nom : 190322-shadowhammer-2.png
Affichages : 6145
Taille : 49,5 Ko

    « Nous ne sommes pas en mesure de calculer le nombre total d’utilisateurs touchés uniquement à partir de nos données. Cependant, nous estimons que l’ampleur réelle du problème est beaucoup plus grande et touche probablement plus d’un million d’utilisateurs dans le monde », a confié le spécialiste russe en cybersécurité dans un billet de blog.

    Les programmes d’installation des versions piratées de l’utilitaire ASUS Live Update étaient signés numériquement « ASUSTeK Computer Inc. », ce qui tend à prouver qu’ils provenaient des serveurs officiels d’Asus. Kaspersky, qui a informé Asus de l’attaque en janvier dernier, a assuré qu’il aidait la société dans son enquête et mis à la disposition du public un utilitaire hors ligne et un vérificateur en ligne pour les utilisateurs qui veulent vérifier si leur PC a été touché par l’opération ShadowHammer.

    Nom : ShadowHammer Attack Web Checker.png
Affichages : 6259
Taille : 54,9 Ko

    Certains éléments de collectés par Kaspersky permettent, d’après le GreAT d’établir des similitudes entre cette campagne de cyber espionnage et l’opération ShadowPad, découverte en 2017, qui était basée sur la diffusion d’une porte dérobée dissimulée dans un logiciel de gestion de serveurs utilisé par des centaines de grandes entreprises à travers le monde. Une fois activée, cette porte dérobée permettait à l’attaquant de télécharger des modules malveillants ou de voler des données. L’auteur de l’opération ShadowPad a été publiquement identifié comme étant BARIUM, un acteur connu de l’APT qui utilise la porte dérobée Winnti. Comme ShadowPad avant elle, ShadowHammer illustre les dangers que pourrait représenter une attaque à large échelle contre la chaine logistique.

    Les chercheurs de la société de cybersécurité Symantec ont également été en mesure d’identifier l’attaque contre les utilisateurs Asus, a déclaré un porte-parole de cette autre entreprise de cybersécurité.

    Mise à jour du 26 mars : Asus a déclaré mardi qu'il a publié une mise à jour pour réparer une attaque qui, selon les chercheurs en sécurité, avait ciblé plus d'un million d'utilisateurs Asus l'an dernier en détournant le système de mise à jour du logiciel du fabricant de l'ordinateur.
    La société a déclaré "un petit nombre de dispositifs" ont été implantés avec le code malveillant par une attaque sophistiquée sur ses serveurs Live Update.

    Source : Reuters et correctif (Reuter).

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    Des hackers ont glissé une porte dérobée dans une bibliothèque open source largement utilisée pour voler des bitcoins
    « Nous ne pouvons pas introduire de porte dérobée dans notre application », indique Signal contre la loi Assistance and Access Bill de l'Australie
    Le système de vote en ligne de la Suisse comporte une porte dérobée jugée très grave par les chercheurs
    Lenovo découvre des vulnérabilités, parmi lesquelles une porte dérobée, dans le firmware des produits réseau RackSwitch et BladeCenter
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 420
    Points : 5 331
    Points
    5 331
    Par défaut
    Heureusement qu'il s'agit d'une campagne ciblée à 600 adresses MAC (source Ziff Davis) sinon bonjour les dégats que peut faire une telle cochonnerie. A mon avis, le fait que ce soit un ciblage spécifique implique un état dans la réalisation de ce spyware.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

Discussions similaires

  1. Réponses: 132
    Dernier message: 17/04/2020, 10h22
  2. Réponses: 1
    Dernier message: 11/07/2017, 14h58
  3. Réponses: 0
    Dernier message: 04/05/2017, 15h00
  4. Créer un système de mise à jour
    Par cppcpp1 dans le forum C++
    Réponses: 6
    Dernier message: 13/01/2007, 12h38
  5. système de mise à jour automatique
    Par eponette dans le forum Web & réseau
    Réponses: 2
    Dernier message: 24/08/2005, 21h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo