Kaspersky a découvert un nouveau bootkit de firmware dans la nature. Il est basé sur la boîte à outils de la Hacking Team. Il a déjà été utilisé dans des attaques contre des diplomates et des membres d'ONG en Europe, en Afrique et en Asie.
Les chercheurs de Kaspersky ont découvert une campagne d'espionnage Advanced Persistent Threat (APT) utilisant un bootkit de firmware. Le logiciel malveillant a été détecté par la technologie d'analyse UEFI/BIOS de Kaspersky, qui peut également détecter les menaces inconnues. La technologie d'analyse a identifié un logiciel malveillant jusqu'alors inconnu dans l'interface UEFI (Unified Extensible Firmware Interface), une partie essentielle de chaque appareil informatique moderne, ce qui rend très difficile la détection des appareils infectés et la suppression des logiciels malveillants. Le bootkit UEFI du malware est une version personnalisée du bootkit de Hacking Team divulgué en 2015.
Le micrologiciel UEFI peut contenir du code malveillant
Le micrologiciel UEFI est une partie essentielle d'un ordinateur qui s'exécute devant le système d'exploitation et tous les programmes qui y sont installés. Si le micrologiciel UEFI contient un code malveillant, ce code démarrera avant le système d'exploitation et peut ne pas être détecté par les solutions de sécurité. Pour cette raison, et parce que le micrologiciel réside sur une puce flash distincte du disque dur, les attaques contre l'UEFI sont extrêmement persistantes et difficiles à supprimer. Infecter le micrologiciel signifie essentiellement que, quel que soit le nombre de fois où le système d'exploitation a été réinstallé, le logiciel malveillant contenu dans le bootkit reste sur l'appareil.
Les chercheurs de Kaspersky ont découvert un tel logiciel malveillant UEFI dans le cadre d'une campagne qui a déployé des variantes d'un cadre modulaire complexe à plusieurs niveaux appelé MosaicRegressor. Le cadre a été utilisé pour l'espionnage et la collecte de données, le malware UEFI faisant partie des méthodes pour s'ancrer sur le système.
Le bootkit Vector EDK a servi de modèle
Les composants du bootkit UEFI sont fortement basés sur le bootkit "Vector-EDK" développé par Hacking Team, dont le code source a été divulgué en 2015. Cela a très probablement permis aux attaquants de créer leur propre logiciel avec peu d'efforts de développement et de risque de détection.
Les attaques ont été découvertes à l'aide du scanner de firmware inclus dans les produits Kaspersky depuis début 2019. La technologie est spécialement conçue pour détecter les menaces qui se cachent dans le ROM-BIOS, y compris les images du micrologiciel UEFI.
Vecteur d'infection inconnu
Bien qu'il n'ait pas été possible de déterminer le vecteur d'infection exact qui a permis aux attaquants d'écraser le micrologiciel UEFI d'origine, les chercheurs de Kaspersky ont pu déduire comment cela a été fait en se basant sur les informations sur VectorEDK provenant des documents divulgués de l'équipe de piratage. Une possibilité est que l'infection ait été possible par un accès physique à l'ordinateur de la victime. Cela aurait pu se produire en utilisant une clé USB amorçable contenant un utilitaire de mise à jour spécial. Le micrologiciel corrigé aurait alors permis l'installation d'un téléchargeur de chevaux de Troie ; les logiciels malveillants qui activent une charge de lecture adaptée à l'attaquant doivent être téléchargés pendant que le système d'exploitation est en cours d'exécution.
Dans la plupart des cas, cependant, les composants MosaicRegressor ont été livrés aux victimes en utilisant des moyens beaucoup moins sophistiqués, tels que le spear phishing, qui impliquait de cacher un compte-gouttes dans une archive contenant un fichier leurre. La structure multimodule du framework a permis aux attaquants de masquer le framework plus large de l'analyse et de déployer des composants sur les ordinateurs ciblés uniquement en cas de besoin. Le logiciel malveillant installé à l'origine sur l'appareil infecté est un téléchargeur de chevaux de Troie. Il s'agit d'un programme qui peut être utilisé pour charger des charges utiles supplémentaires et d'autres logiciels malveillants. En fonction de la charge utile, le logiciel malveillant peut télécharger ou télécharger n'importe quel fichier vers et depuis n'importe quelle URL et collecter des informations à partir de l'ordinateur cible.
Les assaillants ciblent des diplomates et des ONG
MosaicRegressor a été utilisé dans une série d'attaques ciblées contre des diplomates et des membres d'ONG en Afrique, en Asie et en Europe. Certaines des attaques impliquaient des documents de spear phishing en russe, tandis que d'autres étaient liés à la Corée du Nord et utilisés comme appât pour télécharger des logiciels malveillants.
La campagne n'a pas pu être attribuée avec certitude à un acteur APT connu.
"Alors que les attaques UEFI présentent de grandes opportunités pour les acteurs de la menace, MosaicRegressor est le premier cas publiquement connu d'un acteur de la menace utilisant un micrologiciel UEFI malveillant personnalisé dans la nature", a déclaré Mark Lechtik, chercheur principal en sécurité à l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. « Des attaques connues auparavant ont réorienté et réutilisé des logiciels légitimes tels que LoJax. Il s'agit maintenant de la première attaque dans la nature utilisant un kit de démarrage UEFI personnalisé. Cette attaque montre que, bien que rare, dans des cas exceptionnels, les acteurs sont prêts à se donner beaucoup de mal pour rester le plus longtemps possible sur l'appareil de la victime. Les acteurs de la menace diversifient continuellement leurs outils et deviennent plus créatifs dans la façon dont ils ciblent les victimes - et les fournisseurs de sécurité devraient faire de même pour garder une longueur d'avance sur les cybercriminels. La combinaison de notre technologie et de notre compréhension des campagnes actuelles et passées impliquant des micrologiciels infectés nous permet de surveiller et de signaler les futures attaques contre de telles cibles.
Les acteurs de la menace ont un net avantage
"L'utilisation d'un code source tiers divulgué et son adaptation à un nouveau malware avancé montre une fois de plus l'importance de la sécurité des données", ajoute Igor Kuznetsov, chercheur en sécurité chez GReAT de Kaspersky. "Une fois qu'un logiciel - qu'il s'agisse d'un bootkit, d'un malware ou autre chose - fuit, les acteurs de la menace ont un net avantage. Parce que les outils disponibles gratuitement leur donnent la possibilité d'évoluer et de personnaliser leurs outils avec moins d'effort et moins de chances d'être reconnus.
Plus d'informations à ce sujet sur Kaspersky.de
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/