Des cybercriminels désactivent les antivirus grâce à l’anti-triche d’un célèbre jeu vidéo

Selon un rapport de Trend Micro, des cybercriminels ont intégré le programme anti-triche du jeu vidéo à succès, Genshin Impact, à leur logiciel malveillant. Son rôle dans la chaîne d'attaque est d'offrir un accès aux couches profondes du système d'exploitation de l'ordinateur, dans le but de désactiver les antivirus installés sur l'appareil. Cette histoire relance à nouveau le débat sur la composition des outils anti-triche, considérés comme de potentielles menaces par les experts depuis plusieurs années.
François Manens
(Crédits : Google Play Store)

Et si un outil créé pour empêcher les abus était détourné pour lancer des cyberattaques ?  Dans un rapport, les chercheurs de l'entreprise de cybersécurité Trend Micro expliquent comment des hackers exploitent l'outil anti-triche du jeu Genshin Impact (plus de 60 millions de joueurs sur PC, consoles et smartphones) pour désactiver les antivirus présents sur les ordinateurs de leurs victimes.

Autrement dit, les malfaiteurs ont récupéré le programme dans les fichiers du jeu vidéo, et l'ont intégré à leur propre logiciel malveillant. Ils n'ont donc pas besoin que la victime ait installé Genshin Impact sur son ordinateur (ce qui serait improbable dans un cadre d'entreprise par exemple) pour la compromettre. Cet épisode confirme les craintes répétées du secteur de la cybersécurité concernant les logiciels anti-triche des jeux vidéo, qui disposent de privilèges d'accès très élevés sur les systèmes informatiques, et peuvent donc être détournés à des fins malveillantes.

Trop de privilèges accordés aux logiciels anti-triche

Au centre de l'histoire se trouve un programme nommé « mhyprot2.sys », dont l'usage initial consiste à bloquer les programmes de triche sur Genshin Impact. Ce genre d'outil couramment utilisé dans l'industrie est installé par défaut. Concrètement, il observe ce qu'il se passe sur le système d'exploitation à la recherche de programmes de triche. Son utilisation fait d'autant plus sens sur Genshin Impact car il s'agit d'un jeu en ligne qui inclut de nombreuses micro-transactions. L'anti-triche permet donc d'éviter des frustration entre les joueurs ainsi que le détournement de contenu virtuel à haute valeur financière.

Pour remplir son rôle de vigie, mhyprot2.sys dispose d'un haut niveau d'accès à certaines parties du système d'exploitation, c'est-à-dire à des couches logicielles profondes. Problème : mhyprot2.sys contient une vulnérabilité, connue depuis 2020. Grossièrement, lorsqu'elle est exploitée, elle permet à des hackers d'obtenir un accès aux couches logiciels profondes et d'ainsi lancer des programmes en outrepassant toutes les protections situées sur la couche supérieure. En juillet 2021, un chercheur avait d'ailleurs publié une preuve de concept dans laquelle il transformait l'outil anti-triche en un logiciel malveillant capable d'accéder au kernel (le cœur de Windows, qui gère les ressources du processeur). Mais la vulnérabilité n'avait pas été corrigée par HoYoverse, l'entreprise chinoise qui développe Genshin Impact. L'attaque découverte par Trend Micro aurait donc pu être évitée.

Pire, un média, Pro Game Guides avait découvert au lancement de Genshin Impact que l'outil anti-triche fonctionnait en tâche de fond même lorsque le jeu n'était pas actif. Une question surgissait alors : et si Genshin Impact était un logiciel espion ? Dans la foulée, les développeurs avaient mis à jour leur outil pour qu'il fonctionne uniquement en même temps que le jeu. Une preuve qu'ils peuvent intervenir lorsque la réputation du jeu est menacée.

Le logiciel anti-triche, une clé vers les couches logicielles profondes

La catastrophe annoncée a fini par se produire. Les cybercriminels voient dans le programme anti-triche un parfait « rootkit ». Le rôle de ce composant d'une chaîne d'attaque est d'offrir discrètement à l'attaquant un accès privilégié au système informatique. C'est un maillon essentiel, et pour cause : sur un ordinateur d'entreprise, les utilisateurs n'ont généralement qu'un accès limité aux fonctionnalités, qui leur empêche d'installer certains programmes. Seul un compte administrateur, un statut détenu seulement par une poignée de personnes dans l'organisation, peut installer ou supprimer des logiciels sur les ordinateurs. En obtenant un accès administrateur, les cybercriminels ont donc portes ouvertes sur le système de leurs victimes pour y installer leurs logiciels malveillants.

Surtout, mhyprot2.sys dispose d'un atout très intéressant. Puisque c'est un programme légitime, il dispose d'un certificat « signé », sorte de passeport qui atteste de sa non dangerosité. En conséquence, il n'est pas détecté par les outils de protection de Windows, et il est exécuté automatiquement, sans intervention de l'utilisateur. Habituellement, les malfaiteurs utilisent des rootkits qui exploitent des certificats volés, ou qui arrivent à imiter des signatures. Mais ces derniers peuvent être détectés par les outils les plus pointus, là où le certificat légitime présenté par mhyprot2.sys passera.

Dans le cas observé par Trend Micro, les attaquants s'appuient sur le rootkit pour désactiver les antivirus - pourtant correctement configurés -, et ainsi déployer leur rançongiciel sans qu'il soit détecté (du moins, au niveau de l'ordinateur) ni bloqué. Mais il n'est qu'un maillon de la chaîne d'attaque : il faut au préalable que les hackers aient obtenu un accès à l'ordinateur de leur cible.

La vulnérabilité enfin corrigée après deux ans ?

Trend Micro insiste sur le fait que mhyprot2.sys peut être intégré dans n'importe quel logiciel malveillant, et que les défenseurs devraient donc prendre en compte son existence. L'attaque repérée par les chercheurs date de fin juillet, et ils enquêtent encore sur l'ampleur de la vague d'attaques, sans communiquer sur l'identité du gang à son origine. Sur Twitter, le chercheur réputé Kevin Beaumont a confirmé qu'il avait également observé la méthode d'infection, et proposé une méthode pour la bloquer.

Deux jours après la publication de Trend Micro, HoYoverse a enfin communiqué sur le problème, dans un email envoyé au site Motherboard : « nous travaillons sur ce dossier, et nous allons trouver une solution aussi rapidement que possible pour protéger la sécurité des joueurs et stopper des abus potentiels de la fonction anti-triche ». La signature du code du programme pourrait être invalidée, et ce dernier être modifié en profondeur. Une modification tardive, alors que l'entreprise a été prévenue à maintes reprises.

Cet épisode pourrait remettre sur la table le débat autour des logiciels anti-triche, dont les grandes capacités sont régulièrement questionnées par les professionnels de la sécurité. En jeu : l'équilibre entre la lutte contre les tricheurs et la sécurité informatique des joueurs.

François Manens
En direct - Transition Forum 2022

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.