Cyberattaque Asus: adresses visées par le piratage ASUS

Bien qu’elle révèle les détails d’une cyberattaque massive de la chaîne d’approvisionnement contre des clients ASUS, la société de sécurité russe Kaspersky n’a pas publié la semaine dernière la liste complète de toutes les adresses MAC que les pirates ont codées en dur dans leur malware pour cibler un groupe spécifique d’utilisateurs par chirurgie.


Au lieu de cela, Kaspersky a publié un outil hors ligne dédié et a lancé une page Web en ligne où les utilisateurs de PC ASUS peuvent rechercher leurs adresses MAC pour vérifier s’ils étaient dans la liste des résultats.


Cependant, beaucoup pensent que ce n’est pas un moyen pratique pour les grandes entreprises possédant des centaines de milliers de systèmes de savoir si elles ont été ciblées ou non.


Liste des adresses MAC ciblées dans l’attaque de la chaîne d’approvisionnement ASUS
Pour résoudre ce problème et aider d’autres experts en cybersécurité à poursuivre leur recherche de campagnes de piratage, le directeur technique de la société de sécurité australienne Skylight, Shahar Zini, a contacté The Hacker News et lui a fourni la liste complète des quelque 583 adresses MAC visées par l’infraction ASUS.


“Si des informations concernant les cibles existent, elles devraient être mises à la disposition de la communauté de la sécurité afin que nous puissions mieux nous protéger “, a déclaré M. Skylight dans un article partagé


“Nous avons donc pensé que ce serait une bonne idée d’extraire la liste et de la rendre publique pour que chaque praticien de sécurité puisse la comparer en masse aux machines connues dans son domaine.”


Les chercheurs de Skylight ont récupéré la liste des adresses MAC ciblées à l’aide de l’outil hors ligne publié par Kaspersky, qui contient la liste complète des 619 adresses MAC de l’exécutable, mais protégées par un algorithme de hachage salé.


Ils ont utilisé un puissant serveur Amazon et une version modifiée de l’outil de craquage de mot de passe HashCat pour forcer brutalement 583 adresses MAC en moins d’une heure.


“Entrez dans l’instance AWS p3.16xlarge d’Amazon. Ces bêtes transportent huit (vous avez bien lu) des GPU NVIDIA V100 Tesla de 16 Go. L’ensemble des 1300 préfixes a été forcé en moins d’une heure.”


Il a été révélé la semaine dernière qu’un groupe de pirates informatiques parrainés par l’État a réussi à détourner le serveur de mise à jour automatique du logiciel ASUS Live l’an dernier et à pousser les mises à jour malveillantes à plus d’un million d’ordinateurs Windows dans le monde entier afin de les infecter par des portes dérobées.


Comme nous l’avons signalé la semaine dernière, Kaspersky a découvert l’attaque, qu’il a baptisée Operation ShadowHammer, après que ses 57.000 utilisateurs aient été infectés par la version backdoored du logiciel ASUS LIVE Update.

La société de sécurité a ensuite informé ASUS de la campagne d’attaque de la chaîne d’approvisionnement en cours le 31 janvier 2019.


Après avoir analysé plus de 200 échantillons de mises à jour malveillantes, les chercheurs ont appris que les pirates, qui ne sont pas encore attribués à un groupe APT, voulaient seulement cibler une liste spécifique d’utilisateurs identifiés par leurs adresses MAC uniques, qui étaient codées en dur dans le malware.


Bien que le logiciel malveillant de deuxième étape n’ait été poussé qu’à près de 600 utilisateurs ciblés, cela ne signifie pas pour autant que les millions d’ordinateurs ASUS qui ont reçu la mise à jour du logiciel malveillant ne sont pas compromis.


Comment vérifier si votre ordinateur portable ASUS a été piraté ?


Après avoir admis qu’un groupe inconnu de pirates avait piraté ses serveurs entre juin et novembre 2018, ASUS a publié cette semaine une nouvelle version propre de son application LIVE Update (version 3.6.8) et a également promis d’ajouter “plusieurs mécanismes de vérification de sécurité” pour réduire les risques de nouvelles attaques.


Cependant, vous devez savoir que le simple fait d’installer la version propre de la mise à jour du logiciel sur le paquet malveillant ne supprimerait pas le code du logiciel malveillant des systèmes infectés.


Ainsi, pour aider ses clients à savoir s’ils ont été victimes de l’attaque, ASUS a également publié un outil de diagnostic grâce auquel vous pouvez vérifier si votre système ASUS a été affecté par la mise à jour malveillante.


Si vous trouvez l’adresse MAC de votre ordinateur dans la liste, cela signifie que votre ordinateur a été backdoored par la mise à jour malveillante, et ASUS vous recommande d’effectuer une réinitialisation d’usine pour effacer le système entier.


L’identité des pirates et leurs intentions sont encore inconnues.

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *