Sorti en septembre 2020 sur PC et consoles, le jeu vidéo de type action-RPG Genshin Impact a été créé par l’entreprise chinoise miHoYo Limited. La version Windows inclut un module anti-triche équipé d’un pilote connu comme mhyprot2.sys. Ce dernier offre de nombreux privilèges système au mécanisme de défense du jeu, ainsi qu’une signature numérique pour démontrer ses droits. Le jeu en a besoin pour détecter et bloquer les outils qui permettraient de contourner les restrictions intégrées. Contre toute attente, les cybercriminels ont découvert comment ils pouvaient utiliser ce pilote autrement.
En août 2022, Trend Micro a publié un rapport à propos d’une attaque inhabituelle au sein de l’infrastructure d’une entreprise. L’attaque se servait du pilote mhyprot2.sys. En quelques mots, un groupe de cybercriminels a découvert qu’il pouvait utiliser virtuellement et de façon illimitée les privilèges système du pilote et le certificat numérique légitime associé comme outils pour lancer une attaque ciblée. Inutile d’avoir installé le jeu pour en être victime.
Déjouer les systèmes de protection
Le rapport décrit l’attaque qui a affecté une victime anonyme, mais omet la méthode initiale que les cybercriminels ont utilisée pour accéder à l’infrastructure de l’entreprise en question. Nous savons seulement qu’ils ont utilisé un compte administrateur compromis pour accéder au contrôleur de domaine via le RDP. En plus de voler les données du contrôleur, les cybercriminels y ont placé un dossier partagé avec un programme d’installation malveillant qu’ils présentaient comme un antivirus. Les cybercriminels se sont servis des politiques du groupe pour installer le fichier sur un des postes de travail, et il s’agissait sans doute d’un entraînement avant de lancer une infection de masse sur tous les ordinateurs de l’entreprise.
Pourtant, ils n’ont pas réussi à installer le programme malveillant sur le poste de travail : le module qui était censé chiffrer les données, et qui aurait ensuite donné lieu à une demande de rançon, ne s’est pas exécuté et les cybercriminels ont dû le lancer manuellement. Ils ont réussi à installer le pilote parfaitement légal mhyprot2.sys de Genshin Impact. L’autre outil qu’ils ont déployé dans le système recueillait des informations sur les processus qui pourraient interférer avec l’installation du code malveillant.
Tous les processus de la liste, dont les solutions de sécurité actives sur l’ordinateur, ont été interrompus un par un par le pilote mhyprot2.sys. Une fois que le système était sans défense, le véritable outil malveillant passait à l’action, chiffrait les fichiers et laissait une demande de rançon.
Un piratage atypique
Cet incident est intéressant puisqu’il montre comment un logiciel légitime et distribué comme composant d’un célèbre jeu vidéo peut être exploité. Trend Micro a découvert que le pilote mhyprot2.sys utilisé lors de l’attaque a été signé en août 2020, peu de temps avant la sortie officielle du jeu. Les cybercriminels ont tendance à utiliser les certificats privés volés pour signer les programmes malveillants, ou pour exploiter les vulnérabilités d’un programme légitime. Pourtant, dans ce cas, les cybercriminels ont utilisé les fonctionnalités normales du pilote, c’est-à-dire l’accès total à la RAM et la possibilité d’interrompre tous les processus du système. Ces programmes légitimes sont une menace supplémentaire pour l’administrateur de l’infrastructure de l’entreprise puisqu’ils peuvent facilement passer inaperçus et ne pas être détectés par les outils de surveillance.
Les utilisateurs de Genshin Impact ont vite remarqué le comportement inhabituel de mhyprot2.sys. Par exemple, le module ne disparaît pas du système, même lors de la désinstallation, ce qui signifie que tous les amateurs de ce jeu sur PC, passés et présents, sont vulnérables et que leurs ordinateurs peuvent facilement être attaqués. Curieusement, les conversations d’un chat qui expliquaient comment le pilote des systèmes anti-triche pouvait être exploité tout en profitant des diverses capacités du module et de la signature électronique remonte à octobre 2020.
Cet incident est un rappel pour les développeurs de programmes qui doivent utiliser leurs privilèges élevés et leurs droits système avec prudence. Dans le cas contraire, le code pourrait être utilisé pour lancer des attaques informatiques et ne remplirait plus sa fonction de protection contre la cybercriminalité. Les développeurs de Genshin Impact ont été informés des éventuels problèmes associés avec le pilote l’été dernier, mais il semblerait qu’ils n’aient pas considéré le comportement dangereux du module comme étant un problème. D’autre part, la signature numérique était encore en place fin août 2022.
Quelques conseils pour les entreprises
Vous pouvez réduire le risque de souffrir d’une attaque comme celle décrite ci-dessus en ajoutant le pilote potentiellement dangereux à votre liste de surveillance, et en utilisant des solutions de sécurité ayant de grandes capacités d'auto-défense. N’oubliez pas que les cybercriminels ont d’abord eu accès au contrôleur de domaine et que cette situation est particulièrement dangereuse. Ainsi, ils pourraient utiliser des méthodes moins intrusives pour continuer à distribuer le programme malveillant sur le réseau de l’entreprise.
Normalement, la détection de jeux installés sur les ordinateurs du personnel n’est importante qu’en termes de productivité. L’incident lié au système anti-triche de Genshin Impact montre que les programmes » inutiles » sont certes une distraction mais surtout un risque de sécurité supplémentaire. Les employés pourraient installer des programmes potentiellement dangereux et, dans certains cas, introduire des codes ouvertement dangereux dans le périmètre de sécurité.