Winnti Umbrella, exemple d’une attaque sur chaîne logistique
Lors de l’événement Eset Security Days en juin 2019, Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, est revenu sur une attaque sur chaîne logistique : Winnti Umbrella. Celle-ci était dirigée essentiellement vers les sociétés de jeux vidéo, avec pour objectif de s’attaquer aux utilisateurs finaux.
Comment se déroule une attaque sur chaîne logistique ? C’est-à-dire lorsqu’un hackeur s’attaque à un des maillons de la chaîne de protection d’un logiciel… C’est ce qu’est venu montrer Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, à l’occasion de l’événement Eset Security Days. « Une attaque sur chaîne logistique est une attaque ciblée qui permet cependant de déployer un malware de façon massive », précise-t-il.
Backdoor
Pour bien comprendre comment ce genre d’attaque fonctionne, Mathieu Tartare a donné l’exemple de l’industrie du jeu vidéo qui a fait l’objet d’attaques ciblées de la part de Winnti Umbrella.
« Un de nos clients du secteur des jeux vidéo nous a contactés parce qu’un de leurs jeux était détecté par certaines des machines de leurs clients comme un malware. Il s’est avéré que le jeu était bel et bien compromis », raconte Mathieu Tartare.
D’autres compagnies du secteur ont également été touchées. Avec toujours le même modus operandi : Winnti Umbrella passait par les serveurs web des sociétés via des droppers (sorte de cheval de de Troie chargé d’installer un autre parasite) pour installer des backdoors, portes dérobées, sur les jeux. Les clients des sociétés de jeux vidéo se retrouvaient alors avec cette backdoor sur leur machine. Ce qui permettait à l’attaquant de lancer une offensive… Mais aussi à n’importe quelle personne d’exploiter cette backdoor.
Objectif financier
La cible finale de Winnti Umbrella était donc bien les utilisateurs des jeux vidéo… Sauf ceux dont la machine utilisait le russe ou le chinois simplifié, car dans ces cas le malware ne s’exécutait pas. Pour les autres, la backdoor permettait de collecter des informations comme l’adresse MAC, le nom d’utilisateur, l’adresse IP, la version de Windows, l’architecture de CPU, le numéro de série du disque dur, la résolution de l’écran ou encore le system default language ID, etc.
« La backdoor envoyait ensuite une charge utile chiffrée qui était déchiffrée à partir du volume ID de la victime. Le payload était un xmrig : Monero, une application open source légitime qui permet d’utiliser les ressources du processeur système pour miner de la crypto-monnaie », décrit Mathieu Tartare. L’objectif de ces cyberattaques était donc de gagner de l’argent.
Certificats volés
Petit plus final : le malware utilisait des certificats volés. Mathieu Tartare invite donc tout un chacun à être prudent, même vis-à-vis d’exécutables signés avec un certificat valide car « cela ne veut pas dire qu’ils ne sont pas malveillants », souligne-t-il.
Autre enseignement de cet exemple d’attaque sur chaîne logistique : « Même les éditeurs de confiance peuvent avoir un virus », analyse Mathieu Tartare. Il s’agit donc de se protéger même si on ne travaille qu’avec des sociétés de confiance et que sous Linux.
Ève Mennesson
Journaliste
Les plus lus…
En janvier 2024, le Groupement des entreprises de sécurité privée (GES) a présenté un tableau visualisant les effectifs salariés…
De nombreuses entreprises travaillent encore avec d’encombrants bacs de récupération d’huile. Or, les tapis textiles flexibles offrent les mêmes fonctionnalités…
Dans un contexte de raréfaction de l’eau, la sécurisation des infrastructures prend une dimension de plus en plus importante,…
My Keeper a mis en service le 1er janvier 2024 sa nouvelle solution SecurIT, la dernière génération de balises connectées…
MMA présente un outil de cartographie des expositions des entreprises aux risques climatiques et technologiques. Covisiomap permet de détecter et…
Souchier, spécialiste des systèmes de désenfumage naturel architectural et marque de la société Souchier-Boullet, filiale du Groupe ADEXSI, propose Lamlight…
