Winnti Umbrella, exemple d’une attaque sur chaîne logistique
Lors de l’événement Eset Security Days en juin 2019, Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, est revenu sur une attaque sur chaîne logistique : Winnti Umbrella. Celle-ci était dirigée essentiellement vers les sociétés de jeux vidéo, avec pour objectif de s’attaquer aux utilisateurs finaux.

Comment se déroule une attaque sur chaîne logistique ? C’est-à-dire lorsqu’un hackeur s’attaque à un des maillons de la chaîne de protection d’un logiciel… C’est ce qu’est venu montrer Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, à l’occasion de l’événement Eset Security Days. « Une attaque sur chaîne logistique est une attaque ciblée qui permet cependant de déployer un malware de façon massive », précise-t-il.
Backdoor
Pour bien comprendre comment ce genre d’attaque fonctionne, Mathieu Tartare a donné l’exemple de l’industrie du jeu vidéo qui a fait l’objet d’attaques ciblées de la part de Winnti Umbrella.
« Un de nos clients du secteur des jeux vidéo nous a contactés parce qu’un de leurs jeux était détecté par certaines des machines de leurs clients comme un malware. Il s’est avéré que le jeu était bel et bien compromis », raconte Mathieu Tartare.
D’autres compagnies du secteur ont également été touchées. Avec toujours le même modus operandi : Winnti Umbrella passait par les serveurs web des sociétés via des droppers (sorte de cheval de de Troie chargé d’installer un autre parasite) pour installer des backdoors, portes dérobées, sur les jeux. Les clients des sociétés de jeux vidéo se retrouvaient alors avec cette backdoor sur leur machine. Ce qui permettait à l’attaquant de lancer une offensive… Mais aussi à n’importe quelle personne d’exploiter cette backdoor.
Objectif financier
La cible finale de Winnti Umbrella était donc bien les utilisateurs des jeux vidéo… Sauf ceux dont la machine utilisait le russe ou le chinois simplifié, car dans ces cas le malware ne s’exécutait pas. Pour les autres, la backdoor permettait de collecter des informations comme l’adresse MAC, le nom d’utilisateur, l’adresse IP, la version de Windows, l’architecture de CPU, le numéro de série du disque dur, la résolution de l’écran ou encore le system default language ID, etc.
« La backdoor envoyait ensuite une charge utile chiffrée qui était déchiffrée à partir du volume ID de la victime. Le payload était un xmrig : Monero, une application open source légitime qui permet d’utiliser les ressources du processeur système pour miner de la crypto-monnaie », décrit Mathieu Tartare. L’objectif de ces cyberattaques était donc de gagner de l’argent.
Certificats volés
Petit plus final : le malware utilisait des certificats volés. Mathieu Tartare invite donc tout un chacun à être prudent, même vis-à-vis d’exécutables signés avec un certificat valide car « cela ne veut pas dire qu’ils ne sont pas malveillants », souligne-t-il.
Autre enseignement de cet exemple d’attaque sur chaîne logistique : « Même les éditeurs de confiance peuvent avoir un virus », analyse Mathieu Tartare. Il s’agit donc de se protéger même si on ne travaille qu’avec des sociétés de confiance et que sous Linux.
Ève Mennesson
Journaliste
Les plus lus…
Le groupe CNPP a inauguré son centre de gestion de crise le mardi 1er juillet 2025 sur son site de…
SPAC Alliance, organisation européenne rassemblant les acteurs de la sécurité physique et logique, annonce avoir passé la barre des soixante-dix…
Les nouvelles obligations introduites par un décret et un arrêté du 27 mai 2025 pour protéger les travailleurs contre…
Le lundi 23 juin, les 27 États membres du Conseil de l’Union Européenne ont trouvé un accord pour simplifier…
Un arrêté du 24 juin 2025, publié au Journal officiel du 26 juin, porte approbation des règles de sécurité…
Un arrêté du 12 juin 2025, publié au Journal officiel le 26 juin, modifie les prescriptions applicables aux stockages…