ASUS ShadowHammer
Un ASUS Live Update piégé est arrivé chez un demi-million de clients dans le monde. Les attaquants ne s’intéressaient qu’à quelques centaines d’adresses MAC.
En mars 2019, Kaspersky révèle une campagne de supply chain qu’elle nomme Operation ShadowHammer. Les attaquants avaient compromis l’infrastructure de build d’ASUS Live Update et l’avaient utilisée pour pousser une version signée et malveillante de l’utilitaire — un outil installé par défaut sur la plupart des portables et ordinateurs de bureau de marque ASUS — vers environ un demi-million d’appareils au cours du second semestre 2018.
Une liste d’adresses MAC
Comme CCleaner avant lui, l’implant ne s’intéressait pas à la plupart des machines qu’il atteignait. Le binaire Live Update malveillant contenait une liste codée en dur d’environ six cents adresses MAC. La première chose que faisait l’implant sur chaque victime, c’était de vérifier si l’une de ses interfaces réseau correspondait à la liste. Si ce n’était pas le cas, il ne faisait rien.
Les correspondances recevaient une charge de seconde étape qui contactait l’infrastructure des attaquants et téléchargeait des outils supplémentaires. Kaspersky n’a pas été en mesure de récupérer l’ensemble des charges suivantes, mais le profil de ciblage impliquait une liste étroitement sélectionnée d’individus sur un petit nombre de réseaux. Les chercheurs ont ensuite relié l’opération au même acteur derrière la campagne CCleaner, un groupe aligné sur la Chine généralement suivi sous l’étiquette ombrelle BARIUM.
La réponse d’ASUS
ASUS minimise d’abord la divulgation, puis publie un updater propre et un outil d’auto-vérification permettant aux utilisateurs de savoir si leur adresse MAC figurait parmi celles ciblées. L’épisode a déclenché un examen plus serré des mécanismes de mise à jour des OEM dans l’industrie — les updaters préinstallés, contrairement à Windows Update, étaient rarement audités par quiconque en dehors de l’éditeur.
Ce que la chronique retient
ShadowHammer a été la seconde démonstration médiatisée du schéma « compromettre un éditeur, cibler quelques centaines ». ASUS et CCleaner ont tous deux montré qu’une brèche réussie dans une chaîne de build offre aux attaquants un canal de distribution géant et largement gaspillé ; la discipline consiste à jeter les millions d’impressions pour garder les quelques dizaines de cibles réelles inaperçues.