En mars dernier, les chercheurs d’ESET détaillaient des attaques dites de supply chain ciblant des éditeurs et des plateformes de jeux vidéo. Après des mois d’enquête approfondie, leurs experts analysent l’arsenal utilisé par le groupe Winnti, connu pour ses capacités d’espionnage et ses attaques ciblées.

Ces dernières années ont vu une augmentation constante des attaques ciblant la chaîne d’approvisionnement, et ayant pour but de distribuer des logiciels malveillants. Lors d’un événement organisé par ESET, le 1er éditeur européen de solutions de cybersécurité pour les entreprises et le grand public révélait les détails (à consulter dans cet article) de l’attaque menée par le groupe Winnti.

C’est l’un des groupes qui s’est avéré très efficace dans l’attaque de la chaîne d’approvisionnement. « Non seulement ils ont compromis plusieurs cibles importantes, précise le rapport, mais dans chaque cas, ils ont pu passer sous les radars pendant de nombreux mois avant d’être débusqués et perturbés ».

Cette fois, ce sont deux jeux et une de plateforme de jeu en ligne qui ont été compromis pour y inclure une porte dérobée. Ces attaques visaient principalement l’Asie et l’industrie du jeu. Suite à cette découverte, ESET a poursuivi son enquête en suivant deux pistes. La première a consisté à explorer les étapes suivantes de cette attaque. Pour la seconde, l’objectif était de découvrir comment les chaînes d’approvisionnement numériques des organisations avaient été compromises jusqu’à intégrer un programme malveillant dans leurs applications.

Autopsie d’une attaque réussie

Au cours de leurs recherches, les experts d’ESET ont été en mesure de trouver différents artefacts de logiciels malveillants utilisant les mêmes techniques ou code. Pour mieux visualiser l’image complète, voici un diagramme montrant les relations entre tous ces éléments.

1

Une attaque rondement menée

Bien que les logiciels malveillants utilisent des configurations différentes dans chaque cas, les trois logiciels incriminés comprenaient le même code de porte dérobée et ont été lancés en utilisant le même mécanisme. Alors que deux des produits compromis n’incluent plus la porte dérobée, l’un des développeurs concernés distribue toujours la version trojanisée : ironiquement, le jeu s’appelle Infestation. Il est produit par le développeur thaïlandais Electronics Extreme. Nous avons essayé de les informer à plusieurs reprises, par différents canaux, depuis début février, mais sans succès apparent.

Des objectifs bien ciblés

En analysant leurs outils et techniques, les chercheurs d’ESET ont pu déduire certaines relations entre chaque incident de la chaîne d’approvisionnement signalé et en déduire les faits suivants :

  • l’un des objectifs du groupe, ou de ses sous-groupes, est l’extraction de cryptomonnaie. Le groupe Winnti a déployé un logiciel de cryptominage en utilisant la porte dérobée qu’il a ajoutée aux jeux et logiciels en 2018,
  • Il existe des liens étroits entre les outils et les techniques utilisés lors de multiples attaques majeures de la chaîne d’approvisionnement au cours des dernières années. Ces liens indiquent que les incidents suivants ont probablement été commis par le même groupe : CCleaner, NetSarang, Asus et jeux et logiciels en 2018.
  • Ce rapport documente une porte dérobée non analysée précédemment utilisée par le groupe Winnti. Appelé PortReuse par ses auteurs, cette porte dérobée Windows est un implant réseau passif qui s’injecte dans un processus qui écoute déjà sur un port réseau et attend qu’un paquet magique entrant déclenche le code malveillant.
  • Avec l’aide de Censys, les chercheurs de l’ESET ont identifié et prévenu une importante victime (fournisseur de matériel et de logiciels mobiles) asiatique de PortReuse.
  • Le logiciel malveillant ShadowPad est toujours en cours de mise à jour par son auteur et a été mis à jour et utilisé plusieurs fois en 2019. Il a la même approche modulaire et inclut des techniques de furtivité supplémentaires.

Sources : ESET