Winnti Umbrella, exemple d’une attaque sur chaîne logistique
Lors de l’événement Eset Security Days en juin 2019, Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, est revenu sur une attaque sur chaîne logistique : Winnti Umbrella. Celle-ci était dirigée essentiellement vers les sociétés de jeux vidéo, avec pour objectif de s’attaquer aux utilisateurs finaux.
Comment se déroule une attaque sur chaîne logistique ? C’est-à-dire lorsqu’un hackeur s’attaque à un des maillons de la chaîne de protection d’un logiciel… C’est ce qu’est venu montrer Mathieu Tartare, malware researcher au sein du Viruslab d’Eset, à l’occasion de l’événement Eset Security Days. « Une attaque sur chaîne logistique est une attaque ciblée qui permet cependant de déployer un malware de façon massive », précise-t-il.
Backdoor
Pour bien comprendre comment ce genre d’attaque fonctionne, Mathieu Tartare a donné l’exemple de l’industrie du jeu vidéo qui a fait l’objet d’attaques ciblées de la part de Winnti Umbrella.
« Un de nos clients du secteur des jeux vidéo nous a contactés parce qu’un de leurs jeux était détecté par certaines des machines de leurs clients comme un malware. Il s’est avéré que le jeu était bel et bien compromis », raconte Mathieu Tartare.
D’autres compagnies du secteur ont également été touchées. Avec toujours le même modus operandi : Winnti Umbrella passait par les serveurs web des sociétés via des droppers (sorte de cheval de de Troie chargé d’installer un autre parasite) pour installer des backdoors, portes dérobées, sur les jeux. Les clients des sociétés de jeux vidéo se retrouvaient alors avec cette backdoor sur leur machine. Ce qui permettait à l’attaquant de lancer une offensive… Mais aussi à n’importe quelle personne d’exploiter cette backdoor.
Objectif financier
La cible finale de Winnti Umbrella était donc bien les utilisateurs des jeux vidéo… Sauf ceux dont la machine utilisait le russe ou le chinois simplifié, car dans ces cas le malware ne s’exécutait pas. Pour les autres, la backdoor permettait de collecter des informations comme l’adresse MAC, le nom d’utilisateur, l’adresse IP, la version de Windows, l’architecture de CPU, le numéro de série du disque dur, la résolution de l’écran ou encore le system default language ID, etc.
« La backdoor envoyait ensuite une charge utile chiffrée qui était déchiffrée à partir du volume ID de la victime. Le payload était un xmrig : Monero, une application open source légitime qui permet d’utiliser les ressources du processeur système pour miner de la crypto-monnaie », décrit Mathieu Tartare. L’objectif de ces cyberattaques était donc de gagner de l’argent.
Certificats volés
Petit plus final : le malware utilisait des certificats volés. Mathieu Tartare invite donc tout un chacun à être prudent, même vis-à-vis d’exécutables signés avec un certificat valide car « cela ne veut pas dire qu’ils ne sont pas malveillants », souligne-t-il.
Autre enseignement de cet exemple d’attaque sur chaîne logistique : « Même les éditeurs de confiance peuvent avoir un virus », analyse Mathieu Tartare. Il s’agit donc de se protéger même si on ne travaille qu’avec des sociétés de confiance et que sous Linux.
Ève Mennesson
Journaliste
Les plus lus…
Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Commandez la version papier du magazine Face au Risque pour un confort de lecture optimal. N.B. Les frais de port sont de 7,50 € TTC, quel que soit le nombre de magazines commandés.Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Cette version du magazine numérique vous est proposée en consultation de type "flipbook" (tourné de page, zoom). Chaque numéro acheté sera consultable à partir de l'onglet "Mes magazines numériques" présent dans votre compte. N.B. Un flipbook n'est pas un fichier PDF téléchargeable.En 2024, se tiendra un nombre inédit de scrutins et près de la moitié de la population mondiale sera…
La solution française de coffre-fort numérique Lockself a publié le 30 avril 2024 la première édition de son baromètre…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…