En réalité, les pirates ne ciblaient que 600 machines pour une raison inconnue. L’entreprise spécialisée Kaskersky a déployé un outil pour permettre aux propriétaires d’ordinateurs Asus de vérifier s’ils ont été victimes.
Asus en pleine tourmente. Les chercheurs en sécurité de Kaspersky Labs ont dévoilé lundi l’existence d’une attaque informatique de grande ampleur, appelée ShadowHammer, qui a touché des centaines de milliers d’ordinateurs Asus entre juin et novembre 2018.
Les pirates ont introduit une porte dérobée (une fonctionnalité inconnue de l’utilisateur légitime) dans le fichier de mise à jour Asus Live Update. Tout est passé inaperçu car ce malware était camouflé dans le fichier de mise à jour, signé d’un certificat électronique Asus. Donc totalement authentique.
Combien de victimes?
Kaspersky affirme que 57.000 de ses clients ont été infectés. En majorité en Russie et en Allemagne, là où le nombre d’utilisateurs d’antivirus Kasperky est le plus important. “Nous ne sommes pas en mesure de calculer le nombre total d’utilisateurs affectés en nous basant uniquement sur nos données”, reconnaît l’entreprise dans un communiqué. Mais elle estime que “plus d’un million d’utilisateurs dans le monde” ont été victimes de cette attaque.
Que voulaient les pirates?
Le plus étonnant reste que les pirates ne s’intéressaient qu’à 600 ordinateurs. Leurs adresses MAC (identifiant unique du matériel) étaient codées dans le logiciel malveillant. Pour ces 600 ordinateurs ciblés, un second malware d’une nature inconnue s’est téléchargé. Comme Kaspersky n’y a pas eu accès, il est impossible de connaître précisément le but de cette attaque informatique. Pour tous les autres, rien ne s’est passé.
Kaspersky a déployé un outil (shadowhammer.kaspersky.com) pour vous permettre de savoir si votre ordinateur a été ciblé. Selon l’entreprise spécialisée dans la cybersécurité, ShadowHammer ressemble étrangement à de précédentes attaques: Shadowpad et CCleaner. D’ailleurs, même si l’identité des pirates est pour l’instant inconnue, Kaspersky présume qu’il y a un lien entre l’auteur de cette attaque et celle de 2017, Shadowpad.
Mise à jour du 26/03 à 15h30: Asus a été alerté par Kaspersky le 31 janvier. Mardi, le fabriquant taÏwanais a donné des précisions sur l’attaque de son logiciel Asus Live Update. Il s’agit d’une attaque APT (les Menaces Persistantes Avancées) qui sont “généralement perpétrées par certains gouvernements visant des organisations ou entités internationales plutôt que les utilisateurs grand public”.
“L’attaque APT sur nos serveurs Live Update a permis aux pirates informatiques de placer un code malveillant dans certains ordinateurs de nos clients pour cibler un groupe spécifique et limité d’utilisateurs”, explique Asus. “Notre service client ASUS a pris contact avec les utilisateurs impactés pour les aider à éliminer tout potentiel risque de sécurité”.
avec : bfmtv
