Winnti Umbrella, exemple d’une attaque sur chaîne logistique

Lors de l’événement Eset Security Days en juin 2019, Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, est revenu sur une attaque sur chaîne logistique : Winnti Umbrella.
Celle-ci était dirigée essentiellement vers les sociétés de jeux vidéo, avec pour objectif de s’attaquer aux utilisateurs finaux.

Comment se déroule une attaque sur chaîne logistique ? C’est-à-dire lorsqu’un hackeur s’attaque à un des maillons de la chaîne de protection d’un logiciel… C’est ce qu’est venu montrer Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, à l’occasion de l’événement Eset Security Days. « Une attaque sur chaîne logistique est une attaque ciblée qui permet cependant de déployer un malware de façon massive », précise-t-il.

Backdoor

Pour bien comprendre comment ce genre d’attaque fonctionne, Mathieu Tartare a donné l’exemple de l’industrie du jeu vidéo qui a fait l’objet d’attaques ciblées de la part de Winnti Umbrella.

« Un de nos clients du secteur des jeux vidéo nous a contactés parce qu’un de leurs jeux était détecté par certaines des machines de leurs clients comme un malware. Il s’est avéré que le jeu était bel et bien compromis », raconte Mathieu Tartare.

D’autres compagnies du secteur ont également été touchées. Avec toujours le même modus operandi : Winnti Umbrella passait par les serveurs web des sociétés via des droppers (sorte de cheval de de Troie chargé d’installer un autre parasite) pour installer des backdoors, portes dérobées, sur les jeux. Les clients des sociétés de jeux vidéo se retrouvaient alors avec cette backdoor sur…