La découverte du nouveau rootkit UEFI révèle une vilaine vérité : les attaques nous sont invisibles

Getty Images

Les chercheurs ont déballé une découverte majeure en matière de cybersécurité : un rootkit malveillant basé sur UEFI qui est utilisé dans la nature depuis 2016 pour s’assurer que les ordinateurs restent infectés même si un système d’exploitation est réinstallé ou si un disque dur est complètement remplacé.

Le micrologiciel compromet l’UEFI, l’ensemble de micrologiciels de bas niveau et très opaque nécessaire pour démarrer presque tous les ordinateurs modernes. En tant que logiciel qui connecte le micrologiciel d’un périphérique PC au système d’exploitation, l’UEFI – abréviation de Unified Extensible Firmware Interface – est un système d’exploitation à part entière. Il réside dans une puce de stockage flash connectée SPI soudée à la carte mère de l’ordinateur, ce qui rend difficile l’inspection ou la correction du code. Comme c’est la première chose qui s’exécute lorsqu’un ordinateur est allumé, cela affecte le système d’exploitation, les applications de sécurité et tous les autres logiciels qui suivent.

Exotique, oui. Rare, non.

Lundi, des chercheurs de Kaspersky ont dressé le profil de CosmicStrand, le nom de la société de sécurité pour un rootkit UEFI avancé que la société a détecté et obtenu via son logiciel antivirus. La découverte est l’une des rares menaces UEFI connues à avoir été utilisées dans la nature. Jusqu’à récemment, les chercheurs supposaient que les exigences techniques requises pour développer un logiciel malveillant UEFI de ce calibre le garderaient hors de portée de la plupart des acteurs de la menace. Kaspersky attribuant CosmicStrand à un groupe de piratage chinois inconnu ayant des liens possibles avec des logiciels malveillants de cryptominage, ce type de logiciel malveillant n’est peut-être pas si rare après tout.

“L’aspect le plus frappant de ce rapport est que cet implant UEFI est utilisé dans la nature depuis fin 2016, bien avant que les attaques UEFI ne soient décrites publiquement”, ont écrit les chercheurs de Kaspersky. « Cette découverte soulève une dernière question : si c’est ce que les attaquants utilisaient alors, qu’utilisent-ils maintenant ?

Alors que les chercheurs de la société de sécurité Qihoo360 ont signalé une variante antérieure du rootkit en 2017, Kaspersky et la plupart des autres sociétés de sécurité occidentales ne l’ont pas remarqué. Les dernières recherches de Kaspersky détaillent comment le rootkit – trouvé dans les images de firmware de certaines cartes mères Gigabyte ou Asus – peut détourner le processus de démarrage des machines infectées. Les bases techniques témoignent de la sophistication du malware.

Un rootkit est un logiciel malveillant qui s’exécute dans les régions les plus profondes du système d’exploitation qu’il infecte. Il utilise cette position stratégique pour cacher des informations sur sa présence au système d’exploitation lui-même. Un bootkit, quant à lui, est un logiciel malveillant qui infecte le processus de démarrage d’une machine afin de persister sur le système. UEFI, le successeur de l’ancien BIOS, est une norme technique qui définit la façon dont les composants peuvent participer au démarrage d’un système d’exploitation. C’est le plus “récent”, puisqu’il a été introduit vers 2006. Aujourd’hui, presque tous les appareils prennent en charge UEFI en ce qui concerne le processus de démarrage. Le point clé ici est que lorsque nous disons que quelque chose se passe au niveau UEFI, cela signifie que cela se produit lorsque l’ordinateur démarre, avant même que le système d’exploitation ne soit chargé. Quelle que soit la norme utilisée au cours de ce processus, ce n’est qu’un détail de mise en œuvre et d’ici 2022, ce sera presque toujours UEFI de toute façon.

Dans un e-mail, le chercheur de Kaspersky Ivan Kwiatkowski a écrit :

Ainsi, un rootkit peut ou non être un bootkit selon l’endroit où il est installé sur l’ordinateur de la victime. Un bootkit peut ou non être un rootkit, tant qu’il infecte un composant utilisé pour démarrer le système (mais compte tenu de leur bas niveau, les bootkits seront généralement des rootkits). Et le firmware est l’un des composants qui peuvent être infectés par les bootkits, mais il y en a d’autres aussi. CosmicStrand est tout cela à la fois : il possède les capacités discrètes du rootkit et infecte le processus de démarrage en corrigeant de manière malveillante l’image du micrologiciel des cartes mères.

Le flux de travail de CosmicStrand consiste à placer des “crochets” à des points soigneusement sélectionnés dans le processus de démarrage. Les crochets sont des ajustements au flux normal d’exécution. Ils se présentent généralement sous la forme de code supplémentaire développé par l’attaquant, mais dans certains cas, un utilisateur légitime peut injecter du code avant ou après une fonction particulière pour apporter de nouvelles fonctionnalités.

Le flux de travail CosmicStrand ressemble à ceci :

  • Le firmware initialement infecté amorce toute la chaîne.
  • Le logiciel malveillant configure un crochet malveillant dans le gestionnaire de démarrage, lui permettant de modifier le chargeur du noyau Windows avant de s’exécuter.
  • La falsification du chargeur de système d’exploitation permet aux attaquants de configurer un autre crochet dans une fonction du noyau Windows.
  • Lorsque cette fonction est appelée plus tard lors du démarrage normal du système d’exploitation, le logiciel malveillant prend une dernière fois le contrôle du flux d’exécution.
  • Il implémente un code shell en mémoire et contacte le serveur C2 pour récupérer la charge utile malveillante réelle à exécuter sur l’ordinateur de la victime.

Leave a Reply

Your email address will not be published.