ASUS EST ENCORE DANS L’EMBARRAS CAR LES HACKERS UTILISENT LEUR SERVICE CLOUD POUR INFECTER LES ORDINATEURS

Posté le mai 17, 2019 à 22:08

ASUS EST ENCORE DANS L’EMBARRAS CAR LES HACKERS UTILISENT LEUR SERVICE CLOUD POUR INFECTER LES ORDINATEURS

La société de sécurité ESET a révélé que des hackers utilisaient le service cloud WebStorage d’ASUS pour envoyer un logiciel malveillant particulier, appelé Plead, à des victimes sans méfiance. Les chercheurs travaillant pour ESET ont déclaré que le groupe de hackers connu sous le nom de BlackTech utilisait une combinaison de diverses faiblesses de sécurité sur la plateforme ASUS pour réussir ce piratage.

Les attaques combinent diverses méthodes pour infecter les ordinateurs.

Le groupe BlackTech, identifié par Trend Micro comme un groupe qui cible spécifiquement les organisations gouvernementales et privées de toute l’Asie, utilise actuellement une série d’étapes compliquées qu’ESET n’a pas encore bien comprise. Le groupe a fait parler de lui l’année dernière lorsqu’il a utilisé des certificats Code Signing volés à D-Link pour s’authentifier cryptographiquement comme digne de confiance. Avant cet incident, toutefois, ils utilisaient des attaques d’harponnage et des routeurs compromis, qui leur servaient de serveur CNC pour le programme malveillant qu’ils distribuaient.

Initialement, les chercheurs de la société de sécurité pensaient que le logiciel malveillant faisait partie d’une autre attaque sur la chaîne logistique, ASUS ayant subi une attaque similaire il n’y a pas si longtemps. Cependant, la théorie des attaques sur la chaîne logistique a été rapidement réfutée, montrant qu’ASUS était capable de réparer cette faille particulière dans leur entreprise.

Cependant, ce dernier piratage témoigne à quel point l’équipe de sécurité d’ASUS est vraiment inefficace, car les hackers ont pu pirater les données envoyées à partir de leur service Cloud parce qu’elles n’étaient pas cryptées. De nombreux acteurs dans le domaine de la sécurité pensent qu’avec les violations commises par ASUS, ils veilleraient à ce que tous leurs services soient aussi sûrs que possible.

Le logiciel malveillant a atterrit sur les ordinateurs de la victime sous la forme d’un fichier portant le nom de AsusWSPanel.exe, qui était exécuté normalement sur les ordinateurs des utilisateurs et même signé numériquement par ASUS WebStorage. C’est ce qui a incité les chercheurs à suspecter une autre attaque sur la chaîne logistique, mais dans trois cas particuliers.

Tout d’abord, le service a fourni des fichiers binaires normaux, en plus des exécutables Plead, alors qu’il n’y avait aucune preuve que le serveur d’ASUS soit utilisé comme serveur de contrôle pour le code malveillant. Ceci, combiné au fait que les hackers utilisaient des fichiers autonomes au lieu de regrouper le logiciel malveillant dans un logiciel ASUS légitime, a montré aux chercheurs qu’il y avait autre chose en jeu.

Attaque MITM causée par des connexions non cryptés.

En examinant les scénarios les plus probables d’utilisation possible par les attaquants pour infecter les victimes, ils ont commencé à remarquer que le logiciel ASUS WebStorage était extrêmement vulnérable aux attaques MITM (Man In The Middle) en raison des mises à jour demandées via une connexion HTTP non cryptée. De plus, il a été noté que le logiciel ASUS n’avait absolument pas validé l’authenticité du code téléchargé.

Cela a ensuite amené les chercheurs à la conclusion que BlackTech réussissait à intercepter le processus de mise à jour de ASUS WebStorage et à acheminer Plead sur l’ordinateur cible au lieu de la mise à jour attendue. Les chercheurs ont découvert un autre élément intéressant, à savoir que les routeurs utilisés par les organisations étaient pratiquement les mêmes. ESET a refusé de préciser quelle entreprise était responsable de ces routeurs, car ils étudient toujours cet aspect du piratage. Les chercheurs pensent qu’une partie de l’attaque aurait pu être réalisée à l’aide de paramètres de faux DNS dans les routeurs eux-mêmes, voire de quelque chose d’aussi complexe utilisant des iptables.

C’est la découverte du lien entre les routeurs qui a poussé les chercheurs ESET à rejeter à 100% l’idée d’une attaque sur la chaîne logistique et à se concentrer sur la théorie actuelle d’une attaque MITM. Actuellement, la société a retracé l’attaque sur 20 ordinateurs infectés par le logiciel malveillant Plead. Ce nombre reflète seulement ceux les clients d’ESET, et les chercheurs pensent que ceci est probablement beaucoup plus élevé.

C’est la deuxième fois que ASUS est victime de cyberattaque en quelques mois, ce qui nuit de plus en plus à la réputation des fabricants d’ordinateurs.

 

 

Summary
ASUS EST ENCORE DANS L'EMBARRAS CAR LES HACKERS UTILISENT LEUR SERVICE CLOUD POUR INFECTER LES ORDINATEURS
Article Name
ASUS EST ENCORE DANS L'EMBARRAS CAR LES HACKERS UTILISENT LEUR SERVICE CLOUD POUR INFECTER LES ORDINATEURS
Description
La société de sécurité ESET a révélé que des hackers utilisaient le service cloud WebStorage d’ASUS pour envoyer un logiciel malveillant particulier, appelé Plead, à des victimes sans méfiance.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading