Cybercriminalité : un groupe de hackers s’attaque à la chaîne de distribution des fournisseurs de logiciels

Un nouveau palier a été franchi au cours des dernières années en ce qui concerne les techniques que les pirates informatiques utilisent pour arriver à leurs fins.

Des firmes de sécurité informatique ont révélé qu’un mystérieux groupe de hackers s’est employé à infester les chaînes de distribution d’au minimum 6 grandes entreprises, leur permettant ainsi de créer un accès dérobé dans les logiciels et mises à jour qu’elles fournissent à leurs clients afin de mener des activités d’espionnage.

Sécurité TeamViewer

Crédits Pixabay

Et même si les attaques recensées ne sont pas fondées sur des revendications financières, la manière dont ce groupe opère pose une menace réelle et sérieuse sur la sécurité informatique. Un problème que les firmes de sécurité, à l’instar de Kaspersky, prennent à cœur de résoudre.

Des méthodes de plus en plus sophistiquées et en constante évolution

Il s’appelle Barium, ShadowHammer, ShadowPad ou encore Wicked Panda, mais sous ces différentes appellations utilisées par les firmes de sécurité se cache un groupe de hackers qu’on soupçonne d’opérer depuis la Chine et visant des cibles situées en Asie pour la majorité des cas.

Leur but ? Infecter des ordinateurs en piratant la chaîne d’approvisionnement des fournisseurs de logiciels afin de pouvoir infester un grand nombre de victimes, puis faire le tri afin d’identifier les cibles de leurs activités d’espionnage.

Si vous n’en avez pas encore entendu parler, sachez que le constructeur d’ordinateurs Asus a découvert que des mises à jour de ses appareils ont été piratées par ce groupe, de même que l’utilitaire de diagnostic de Piriform CCleaner, conduisant ainsi à environ 700.000 ordinateurs corrompus.

Des attaques à la pointe de l’innovation

On peut dire que les attaques de ce groupe sont à la fois silencieuses et quasiment indétectables. Ils sont en effet capables de corrompre les logiciels afin de rendre le malware indétectable par les logiciels antivirus. Ce qui fait qu’au final, le système de détection va le considérer comme légitime, car il a la même signature cryptographique, et il n’y aura pas d’alerte déclenchée.

Mais le plus mesquin dans tout cela, c’est que le malware va en fait créer une porte dérobée à travers le logiciel afin de pouvoir accéder à l’ordinateur de l’utilisateur et identifier si c’est une cible correspond aux fins d’espionnage que le groupe mène. Ainsi, dans le cas de l’attaque détectée par Asus, sur 600.000 ordinateurs compromis à travers une mise à jour corrompue par le groupe, seuls 600 ordinateurs ont été la cible d’espionnage.

Selon Vitaly Kamluk, responsable de la sécurité informatique de la branche asiatique de Kaspersky, sur Wired :  » Ils empoisonnent des mécanismes auxquels les gens font confiance (…) ils sont les champions pour cela. (…) Leurs méthodes évoluent constamment et leur sophistication grandit : À mesure que le temps passe, il deviendra de plus en plus difficile d’attraper ces gars-là. »