Posté le mars 26, 2019 à 21:23
LES HACKERS LAISSENT UNE PORTE DÉROBÉE OUVERT DANS LES ORDINATEURS ASUS!
Des centaines de milliers de systèmes informatiques Asus ont été compromis et les clients ciblés par des hackers qui ont utilisé un outil de mise à jour en porte dérobée depuis les propres serveurs d’Asus!
Motherboard a été le premier à signaler les attaques sur les serveurs d’Asus poussant une porte dérobée que les hackers ont utilisée pour cibler et compromettre des centaines de milliers des systèmes informatiques. Le rapport indique que les hackers ont pu signer numériquement l’outil Asus Update en utilisant l’un des certificats de signature de code de l’entreprise.
En plus de tout cela, les hackers ont réussi à le transférer sur les serveurs Asus où ils ont été hébergés pendant des mois l’an dernier. Ces mises à jour malveillantes ont ensuite été transmises à tous les ordinateurs Asus qui l’utilisaient, ce qui aurait été un nombre important car le logiciel était installé par défaut sur tous les ordinateurs vendus.
Techcrunch a vérifié les reportages de Motherboard sur le fait, via une source ayant une connaissance directe de la faille dans la sécurité d’Asus.
Kaspersky, le premier à la scène
Kaspersky, le logiciel de sécurité russe populaire dans le monde entier, a été le premier à découvrir que la faille de sécurité affectait jusqu’à 1 million d’utilisateurs finaux du matériel Asus. Ils ont identifié ce que faisait la porte dérobée. Il scannait l’appareil sur lequel il était pour trouver l’adresse MAC unique. Il retirerait alors le code malveillant d’un serveur de commande et de contrôle. Personne ne peut confirmer ce que fait ce code malveillant en ce moment.
Le rapport de Motherboard mentionnait que le code recherchait 600 adresses MAC uniques, de sorte que les experts en sécurité pensent qu’il s’agit d’une attaque ciblée et non d’une porte dérobée servant à infecter autant de personnes que possible. Il est également devenu plus difficile de savoir ce que le code malveillant téléchargé sur ces 600 machines spécifiques était censé faire.
Symantec, la société réputée pour son populaire Norton AntiVirus, qui a dominé le marché des antivirus pendant des années, a soutenu les recherches de Kaspersky. La porte-parole Jennifer Duffourg a parlé à Techcrunch et a confirmé que leurs conclusions le décrivaient comme une attaque contre la chaîne logistique logicielle. Elle a ajouté que la version du logiciel avec le code cheval de Troie dans le cadre de celui-ci a été envoyée aux clients entre juin et octobre. Elle a ajouté que 13 000 utilisateurs de leur logiciel de sécurité avaient été affectés par le logiciel malveillant entre juin et octobre.
Les pirates avaient accès aux certificats Asus, a déclaré des experts en sécurité
Les experts en sécurité disent que les pirates informatiques devaient posséder les propres certificats d’Asus pour signer le programme malveillant par le biais de la chaîne logistique d’Asus. Ces soi-disant attaques de la chaîne logistique sont extrêmement difficiles à détecter et à suivre. Il existe une gamme de développeurs et de fournisseurs dans le monde entier qui est reconnue pour développer des logiciels et des composants d’approvisionnement.
Le problème aujourd’hui est que le certificat utilisé pour l’attaque, qui était un nouveau certificat datant de mi-2018, est toujours actif. Ceci représente une menace pour les clients Asus et devrait être éliminé immédiatement, selon les experts en sécurité.
Le porte-parole d’Asus, Gary Key, n’a pas eu de réponse. Un communiqué de presse en cours de préparation par Asus était destiné à répondre aux questions éventuelles. Ce n’est pas le seul moment où Asus ne conserve pas une ligne de communication claire avec ses clients. Ils n’ont pas informé les clients de la vulnérabilité bien qu’ils aient été informés de cette vulnérabilité avant le 31 janvier.