Winnti Umbrella, exemple d’une attaque sur chaîne logistique

Lors de l’événement Eset Security Days en juin 2019, Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, est revenu sur une attaque sur chaîne logistique : Winnti Umbrella.
Celle-ci était dirigée essentiellement vers les sociétés de jeux vidéo, avec pour objectif de s’attaquer aux utilisateurs finaux.

Comment se déroule une attaque sur chaîne logistique ? C’est-à-dire lorsqu’un hackeur s’attaque à un des maillons de la chaîne de protection d’un logiciel… C’est ce qu’est venu montrer Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, à l’occasion de l’événement Eset Security Days. « Une attaque sur chaîne logistique est une attaque ciblée qui permet cependant de déployer un malware de façon massive », précise-t-il.

Backdoor

Pour bien comprendre comment ce genre d’attaque fonctionne, Mathieu Tartare a donné l’exemple de l’industrie du jeu vidéo qui a fait l’objet d’attaques ciblées de la part de Winnti Umbrella.

« Un de nos clients du secteur des jeux vidéo nous a contactés parce qu’un de leurs jeux était détecté par certaines des machines de leurs clients comme un malware. Il s’est avéré que le jeu était bel et bien compromis », raconte Mathieu Tartare.

D’autres compagnies du secteur ont également été touchées. Avec toujours le même modus operandi : Winnti Umbrella passait par les serveurs web des sociétés via des droppers (sorte de cheval de de Troie chargé d’installer un autre parasite) pour installer des backdoors, portes dérobées, sur les jeux. Les clients des sociétés de jeux vidéo se retrouvaient alors avec cette backdoor sur leur machine. Ce qui permettait à l’attaquant de lancer une offensive… Mais aussi à n’importe quelle personne d’exploiter cette backdoor.

Objectif financier

La cible finale de Winnti Umbrella était donc bien les utilisateurs des jeux vidéo… Sauf ceux dont la machine utilisait le russe ou le chinois simplifié, car dans ces cas le malware ne s’exécutait pas. Pour les autres, la backdoor permettait de collecter des informations comme l’adresse MAC, le nom d’utilisateur, l’adresse IP, la version de Windows, l’architecture de CPU, le numéro de série du disque dur, la résolution de l’écran ou encore le system default language ID, etc.

« La backdoor envoyait ensuite une charge utile chiffrée qui était déchiffrée à partir du volume ID de la victime. Le payload était un xmrig : Monero, une application open source légitime qui permet d’utiliser les ressources du processeur système pour miner de la crypto-monnaie », décrit Mathieu Tartare. L’objectif de ces cyberattaques était donc de gagner de l’argent.

Certificats volés

Petit plus final : le malware utilisait des certificats volés. Mathieu Tartare invite donc tout un chacun à être prudent, même vis-à-vis d’exécutables signés avec un certificat valide car « cela ne veut pas dire qu’ils ne sont pas malveillants », souligne-t-il.

Autre enseignement de cet exemple d’attaque sur chaîne logistique : « Même les éditeurs de confiance peuvent avoir un virus », analyse Mathieu Tartare. Il s’agit donc de se protéger même si on ne travaille qu’avec des sociétés de confiance et que sous Linux.