ESPecter passe par la porte dérobée et contourne les solutions antivirus classiques. Les chercheurs d'ESET ont découvert une nouvelle forme de malware UEFI. La nouvelle variante de malware se niche dans la partition système EFI (ESP).
Avec ESPecter, les experts du fabricant européen de sécurité informatique ont découvert un soi-disant kit de démarrage UEFI qui contourne la signature du pilote Windows et peut charger son propre pilote non signé, ce qui facilite grandement les activités d'espionnage. Le bootkit actuel est un développement ultérieur du malware UEFI précédemment découvert par ESET. Les solutions de sécurité ESET avec un scanner UEFI intégré protègent les ordinateurs privés et d'entreprise de cette vulnérabilité potentielle.
ESPecter est actif depuis 2012
"Nous avons pu retracer les racines d'ESpecter jusqu'en 2012. Auparavant, le programme espion était utilisé pour les systèmes avec un BIOS obsolète. Malgré sa longue existence, ESPecter et ses opérations, ainsi que la mise à niveau vers UEFI, sont restés longtemps inaperçus », explique Anton Cherepanov, chercheur chez ESET, qui a découvert le kit de démarrage UEFI avec Martin Smolár.
Variante similaire déjà utilisée plus tôt
ESPecter a été découvert sur une machine compromise avec une fonction d'enregistrement de frappe et de vol de documents. Pour cette raison, les chercheurs d'ESET supposent que ESPecter est principalement utilisé à des fins d'espionnage. Grâce à la télémétrie d'ESET, les chercheurs d'ESET ont pu dater les débuts de ce bootkit à au moins 2012. Il est intéressant de noter que les composants du logiciel malveillant n'ont guère changé au fil des ans. Les différences entre les versions 2012 et 2020 ne sont pas aussi importantes qu'on pourrait s'y attendre. Après toutes ces années de changements plutôt mineurs, les développeurs derrière ESPecter semblent avoir décidé de faire passer leurs logiciels malveillants des systèmes BIOS hérités aux systèmes UEFI modernes.
Conseils pour se protéger contre les bootkits UEFI
« ESPecter montre que les développeurs à l'origine du logiciel malveillant s'appuient sur l'imbrication dans le micrologiciel UEFI et le font malgré les mécanismes de sécurité existants. Avec UEFI Secure Boot, ces techniques peuvent être facilement bloquées », poursuit Martin Smolár. Pour se protéger contre ESPecter ou des menaces similaires, ESET conseille aux utilisateurs de suivre ces règles simples :
- Utilisez toujours la dernière version du micrologiciel.
- Assurez-vous que le système est correctement configuré et que Secure Boot est activé.
- Configurez la gestion des comptes privilégiés (PAM) dans l'entreprise pour empêcher les attaquants d'accéder aux comptes privilégiés requis pour l'installation du bootkit.
L'utilisation d'une solution de sécurité avec un scanner UEFI protège également contre de telles menaces. ESET intègre par défaut cette technologie dans ses solutions de sécurité des terminaux d'entreprise et domestiques.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.