[Maj] Sécurité : des milliers de PC ASUS visés par ShadowHammer

Mise à jour : Asus nous a donné sa position officielle sur l’attaque d’Asus Live Update. Voici la teneur de leur communiqué : 

“Les Menaces Persistantes Avancées (APT) sont des attaques à l’échelle nationale généralement perpétrées par certains gouvernements visant des organisations ou entités internationales plutôt que les utilisateurs grand public.

ASUS Live Update est un logiciel propriétaire intégré aux notebooks ASUS pour maintenir les pilotes et firmwares ASUS à jour. L’attaque APT sur nos serveurs Live Update a permis aux pirates informatiques de placer un code malveillant dans certains ordinateurs de nos clients pour cibler un groupe spécifique et limité d’utilisateurs. Notre service client ASUS a pris contact avec les utilisateurs impactés pour les aider à éliminer tout potentiel risque de sécurité.

De plus, ASUS a corrigé la dernière version du logiciel Live Update (ver. 3.6.8) en y introduisant notamment de multiples mécanismes de vérification sécuritaire empêchant toute manipulation malveillante sous la forme de mises à jour logicielles ou autre. Nous avons en outre mis en place un mécanisme avancé de chiffrement de bout en bout. En parallèle, nous avons mis à jour puis renforcé l’architecture logicielle de nos serveurs pour empêcher toute nouvelle tentative d’attaque.

Enfin, nous avons créé un outil de diagnostic sécuritaire en ligne afin de vérifier tous les systèmes impactés. Nous encourageons les utilisateurs concernés à utiliser cet outil de diagnostic par mesure préventive. Celui-ci peut être téléchargé via le lien suivant : https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

Nous invitons nos utilisateurs à contacter le service client ASUS en cas d’interrogations supplémentaires.”

Article originel du 26 mars 2019 – 10h01

À en croire Kaspersky lab, les ordinateurs fabriqués par ASUS auraient été la cible d’une attaque de grande envergure. Des « portes dérobées » logicielles auraient été installées dans des milliers d’ordinateurs de la marque, au moment de leur production, en usine. En ce sens, ShadowHammer est l’exemple même d’une attaque de la chaîne logistique.

>>> Comme chaque année, Pwn2Own dévoile des failles dans Safari, Firefox et Edge

L’offensive menée l’année dernière sur une durée d’au moins cinq mois par un groupe très organisé a injecté des logiciels malicieux se faisant passer pour des mises à jour légitimes en utilisant le propre certificat digital d’ASUS. La porte dérobée a depuis été fermée par le constructeur taïwanais.

ShadowHammer a été installé sur au moins 57 000 ordinateurs ASUS (plus d’un million selon Kaspersky). Il ne ciblait pourtant que certains utilisateurs. Les chercheurs ont en effet découvert qu’une liste d’adresses MAC spécifique avait été « hard codée » dans le logiciel ASUS Live Update. Si les chercheurs n’ont pas découvert qui a lancé cette action, ils savent tout de même que l’adresse IP du serveur du domaine associé à ShadowHammer est située en Russie.