Les chercheurs d’ESET surveillent en permanence les attaques contre les chaînes d’approvisionnement (supply chain attack). Dans leurs derniers travaux, ils analysent l’arsenal actualisé du groupe Winnti. Le groupe est connu pour ses capacités d’espionnage et ses attaques ciblées. Par ailleurs, des motivations financières ne peuvent pas être exclues.
En mars 2019, les chercheurs d’ESET alertaient déjà sur de nouvelles attaques de Winnti contre les chaînes d’approvisionnement, prenant pour cible les joueurs de jeux vidéo en Asie. Suite à cette publication, ESET a poursuivi son enquête en suivant deux pistes. La première a consisté à explorer les prochaines étapes de cette attaque. Pour la seconde, l’objectif était de découvrir comment les chaînes d’approvisionnement numériques des organisations avaient été compromises jusqu’à intégrer un programme malveillant dans leurs applications.
« Ce n’est pas une tâche facile. Rechercher un petit élément de code bien caché, ajouté dans une base de code parfois énorme, c’est comme chercher une aiguille dans une botte de foin. Nous nous appuyons sur des similarités de comportements et de code pour repérer cette aiguille », explique un chercheur d’ESET qui a enquêté sur le groupe Winnti. « Nous avons été intrigués par le programme particulier utilisé pour les récentes attaques contre les chaînes d’approvisionnement ciblant l’industrie du jeu en Asie et avons donc cherché à savoir s’il avait été utilisé ailleurs. C’était le cas », précise-t-il.
Le groupe Winnti utilise ce programme dans une porte dérobée appelée PortReuse. En association avec Censys, ESET a mené une analyse générale sur Internet pour tenter d’identifier une variante de la porte dérobée et des victimes potentielles. Les chercheurs d’ESET ont pu avertir un fabricant de matériel et un éditeur de logiciel mobile majeur en Asie qu’il avait été compromis par PortReuse. ESET a également analysé de nouvelles variantes de Shadowpad, une autre porte dérobée utilisée par le groupe Winnti dont la maintenance était encore assurée et qui était toujours utilisée.
Pour plus de détails techniques, consultez l’article de blog, « Relier les points : l’arsenal et les méthodes du groupe Winnti dévoilés » sur WeLiveSecurity. Le livre blanc est disponible ici. Ce livre donne des détails sur les tout derniers ajouts du groupe et décrit les relations entre les incidents, le programme malveillant et les techniques utilisées. Suivez les travaux d’ESET sur Twitter pour rester informé(e) des derniers travaux de recherche d’ESET.