Les pirates abusent du service cloud ASUS pour installer une porte dérobée sur les ordinateurs des utilisateurs

Le mécanisme de mise à jour d'ASUS a encore une fois été utilisé pour installer des logiciels malveillants sur des ordinateurs personnels, ont rapporté les chercheurs d'Eset en début de semaine. Les chercheurs, qui continuent d’enquêter sur l’incident, ont déclaré croire que ces attaques résultaient d’attaques de type «man-in-the-middle» au niveau du routeur qui exploitent des connexions HTTP non sécurisées entre les utilisateurs finaux et les serveurs ASUS, ainsi que d’une signature de code incomplète pour valider. l'authenticité des fichiers reçus avant leur exécution.

Le malware parle de logiciels malveillants. C'est le travail de pirates de l'espionnage que Trend Micro appelle le groupe BlackTech, qui cible des agences gouvernementales et des organisations privées en Asie. L'année dernière, le groupe a utilisé des certificats de signature de code légitimes dérobés à D-Link, le fabricant du routeur, pour s'authentifier de manière cryptographique en tant que dignes de confiance. Auparavant, le groupe BlackTech utilisait des courriels de phishing et des routeurs vulnérables pour servir de serveurs de commande et de contrôle des logiciels malveillants.

À la fin du mois dernier, les chercheurs d'Eset ont remarqué que le groupe BlackTech utilisait une méthode nouvelle et inhabituelle pour insérer furtivement Plead sur les ordinateurs des cibles. La porte dérobée est arrivée dans un fichier nomméASUS Webstorage Upate.exeinclus dans une mise à jour d'ASUS. Une analyse a montré que des infections étaient créées et exécutées parAsusWSPanel.exe, processus Windows légitime appartenant à ASUS WebStorage et signé numériquement par ce dernier. Comme son nom l'indique, ASUS WebStorage est un service cloud proposé par le fabricant d'ordinateurs pour le stockage de fichiers. Eset a publié ses conclusions mardi.

L'abus de légitimeAsusWSPanel.exea évoqué la possibilité que le fabricant d'ordinateurs soit tombé dans une autre attaque de la chaîne logistique qui détournait son processus de mise à jour pour installer des portes dérobées sur les ordinateurs des utilisateurs finaux. Finalement, les chercheurs d’Eset ont écarté cette théorie pour trois raisons:

    • Le même mécanisme de mise à jour suspecté livrait également des fichiers binaires ASUS WebStorage légitimes.
    • Rien ne prouvait que les serveurs ASUS WebStorage étaient utilisés comme serveurs de contrôle ou servaient des fichiers binaires malveillants.
    • Les attaquants ont utilisé des fichiers de logiciels malveillants autonomes au lieu d’intégrer leurs produits malveillants au logiciel légitime d’ASUS.

Lors de l’examen de différents scénarios, les chercheurs ont constaté que le logiciel ASUS WebStorage était exposé aux attaques de type «man-in-the-middle», au cours desquelles des pirates contrôlant une connexion altéraient les données qui y passaient. Les chercheurs ont pris cette décision car les mises à jour sont demandées et transférées à l'aide de connexions HTTP non chiffrées, plutôt que de connexions HTTPS immunisées contre de tels exploits. Les chercheurs ont en outre remarqué que le logiciel ASUS n’avait pas validé son authenticité avant son exécution. Cela laissait ouverte la possibilité que le groupe BlackTech intercepte le processus de mise à jour ASUS et l'utilise pour envoyer le dossier Plead à la place du fichier ASUS légitime.

Les chercheurs ont également constaté que la plupart des organisations ayant reçu le fichier Plead d’ASUS WebStorage utilisaient des routeurs du même fabricant. Les routeurs, qu'Eset a refusé d'identifier pendant le traitement du dossier, disposent de panneaux d'administrateur accessibles via Internet. Cela laissait ouverte la possibilité qu'une attaque MitM soit causée par des paramètres de système de noms de domaine malveillants définis sur les routeurs ou par quelque chose de plus complexe, tel que la falsification d'iptables.

La théorie de travail d'Eset a ensuite évolué, passant du groupe BlackTech à la violation du réseau ASUS et à l'attaque de la chaîne logistique aux attaquants exécutant une attaque MitM sur le mécanisme de mise à jour non sécurisée d'ASUS. En effet, comme indiqué ci-dessous dans une capture d'écran d'une communication capturée au cours d'une mise à jour logicielle malveillante d'ASUS WebStorage, des attaquants ont remplacé l'adresse URL ASUS légitime par une URL provenant d'un site Web compromis du gouvernement taïwanais.

Anton Cherepanov, responsable de la recherche sur les logiciels malveillants chez Eset, a déclaré dans un courriel que la communication capturée n'était pas la preuve d'un MitM.

"Il est possible que des attaquants aient eu accès aux serveurs ASUS WebStorage et aient poussé XML avec un lien malveillant uniquement vers un petit nombre d'ordinateurs", a-t-il écrit. C'est pourquoi nous disons que c'est toujours possible. Nous ne pouvons pas ignorer cette théorie. "

Mais pour les raisons énumérées ci-dessus, il estime que le scénario MitM est plus probable.

Au total, Eset a compté environ 20 ordinateurs recevant la mise à jour ASUS malveillante, mais ce nombre ne comprend que les clients de l'entreprise. «Le nombre réel est probablement plus élevé si nous considérons des cibles qui ne sont pas nos utilisateurs», a déclaré Anton Cherepanov, chercheur principal en logiciels malveillants chez Eset, à Ars.

Une fois que le fichier est exécuté, il télécharge une image d'un serveur différent contenant un fichier exécutable crypté caché à l'intérieur. Une fois déchiffré, l'exécutable malveillant est déposé dans le dossier du menu Démarrer de Windows, où il est chargé chaque fois que l'utilisateur se connecte.

Il est surprenant que, même après la grave attaque de la chaîne logistique qui aurait infecté jusqu'à 1 million d'utilisateurs, la société utilisait toujours des connexions HTTP non cryptées pour fournir des mises à jour. Ars a envoyé aux représentants des médias ASUS deux messages demandant des commentaires pour cet article. Jusqu'à présent, ils n'ont pas encore répondu. Dans un article de blog envoyé via une connexion HTTP non chiffrée, ASUS a signalé un "incident de sécurité WebStorage" qui se lit comme suit:

ASUS Cloud a eu connaissance d'un incident à la fin du mois d'avril 2019, lorsqu'un de nos clients nous a contactés pour des raisons de sécurité. Après avoir appris l'incident, ASUS Cloud a immédiatement pris des mesures pour atténuer l'attaque en arrêtant le serveur de mise à jour ASUS WebStorage et en arrêtant l'émission de toutes les notifications de mise à jour ASUS WebStorage, mettant ainsi fin à l'attaque.

En réponse à cette attaque, ASUS Cloud a revu l'architecture de l'hôte du serveur de mise à jour et a mis en place des mesures de sécurité visant à renforcer la protection des données. Cela empêchera des attaques similaires à l'avenir. Néanmoins, ASUS Cloud recommande vivement aux utilisateurs des services ASUS WebStorage d’effectuer immédiatement une analyse antivirus complète afin de garantir l’intégrité de vos données personnelles.

La poste ne dit pas quelles sont ces mesures de sécurité. De plus, Eset n'a pas mentionné que le service avait été utilisé pour installer des logiciels malveillants. Jusqu'à ce que des experts en sécurité indépendants disent que le site peut être utilisé en toute sécurité, les gens feraient bien de l'éviter.