ESET détaille les attaques dites de supply chain ciblant des éditeurs de jeux vidéo et les fabricants de systèmes informatiques

Prochain article

Les chercheurs d’ESET surveillent en permanence les attaques contre les chaînes d’approvisionnement (supply chain attack). Dans leurs derniers travaux, ils analysent l’arsenal actualisé du groupe Winnti. Le groupe est connu pour ses capacités d’espionnage et ses attaques ciblées. Par ailleurs, des motivations financières ne peuvent pas être exclues.

En mars 2019, les chercheurs d’ESET alertaient déjà sur de nouvelles attaques de Winnti contre les chaînes d’approvisionnement, prenant pour cible les joueurs de jeux vidéo en Asie. Suite à cette publication, ESET a poursuivi son enquête en suivant deux pistes. La première a consisté à explorer les prochaines étapes de cette attaque. Pour la seconde, l’objectif était de découvrir comment les chaînes d’approvisionnement numériques des organisations avaient été compromises jusqu’à intégrer un programme malveillant dans leurs applications.

« Ce n’est pas une tâche facile. Rechercher un petit élément de code bien caché, ajouté dans une base de code parfois énorme, c’est comme chercher une aiguille dans une botte de foin. Nous nous appuyons sur des similarités de comportements et de code pour repérer cette aiguille », explique un chercheur d’ESET qui a enquêté sur le groupe Winnti. « Nous avons été intrigués par le programme particulier utilisé pour les récentes attaques contre les chaînes d’approvisionnement ciblant l’industrie du jeu en Asie et avons donc cherché à savoir s’il avait été utilisé ailleurs. C’était le cas », précise-t-il.

Le groupe Winnti utilise ce programme dans une porte dérobée appelée PortReuse. En association avec Censys, ESET a mené une analyse générale sur Internet pour tenter d’identifier une variante de la porte dérobée et des victimes potentielles. Les chercheurs d’ESET ont pu avertir un fabricant de matériel et un éditeur de logiciel mobile majeur en Asie qu’il avait été compromis par PortReuse. ESET a également analysé de nouvelles variantes de Shadowpad, une autre porte dérobée utilisée par le groupe Winnti dont la maintenance était encore assurée et qui était toujours utilisée.

Pour plus de détails techniques, consultez l’article de blog, « Relier les points : l’arsenal et les méthodes du groupe Winnti dévoilés » sur WeLiveSecurity. Le livre blanc est disponible ici. Ce livre donne des détails sur les tout derniers ajouts du groupe et décrit les relations entre les incidents, le programme malveillant et les techniques utilisées. Suivez les travaux d’ESET sur Twitter pour rester informé(e) des derniers travaux de recherche d’ESET.

CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/fr  Blog :  www.welivesecurity.com/fr/