Les experts de Kaspersky ont découvert un nouvel exemple de rootkit UEFI : CosmicStrand. Pour le moment, le kit CosmicStrand ne cible que les particuliers et non les entreprises. Mais ce changement n'est qu'une question de temps.
Les experts de Kaspersky ont découvert un rootkit développé par un acteur Advanced Persistent Threat (APT) qui reste sur l'ordinateur de la victime même après le redémarrage du système d'exploitation ou la réinstallation de Windows. Le rootkit du micrologiciel UEFI "CosmicStrand" a jusqu'à présent été utilisé principalement pour des attaques contre des particuliers en Chine, certaines victimes se trouvant également au Vietnam, en Iran et en Russie.
Les rootkits UEFI sont persistants
Le micrologiciel UEFI est un composant essentiel présent dans la grande majorité du matériel. Votre code est responsable du démarrage d'un appareil et du démarrage du composant logiciel qui charge le système d'exploitation. Si les attaquants parviennent à placer un code malveillant dans le micrologiciel UEFI, ce code se lancera avant le système d'exploitation, ce qui peut empêcher les solutions de sécurité de détecter son activité et ainsi de ne pas protéger le système d'exploitation. Ceci, ajouté au fait que le micrologiciel réside sur une puce distincte du disque dur, rend les attaques de micrologiciel UEFI particulièrement difficiles à détecter et exceptionnellement persistantes. Parce que peu importe combien de fois le système d'exploitation est réinstallé, le logiciel malveillant reste sur l'appareil.
L'ancien CosmicStrand redécouvert
CosmicStrand est la dernière découverte d'un rootkit de firmware UEFI par les experts de Kaspersky ; il est attribué à un acteur APT de langue chinoise jusque-là inconnu. Bien que la cible réelle des attaquants ne soit pas encore connue, les chercheurs ont noté que le firmware ne cible que les particuliers et non les entreprises habituelles. Tous les ordinateurs compromis étaient basés sur Windows : chaque fois qu'un ordinateur était redémarré, après le démarrage de Windows, un code malveillant s'exécutait, dont le but était de se connecter à un serveur C2 (commande et contrôle) et d'exécuter un exécutable malveillant supplémentaire pour télécharger.
Les experts de Kaspersky n'ont pas encore été en mesure d'identifier comment le rootkit s'est introduit sur les ordinateurs infectés, mais des comptes non confirmés découverts en ligne suggèrent que certains utilisateurs pourraient avoir reçu des appareils compromis lors de la commande de composants matériels en ligne. Il est également intéressant de noter que l'implant CosmicStrand UEFI est sans doute utilisé dans la nature depuis fin 2016 - bien avant que les attaques UEFI ne soient même décrites publiquement.
CosmicStrand a refait surface en 2016
"Bien que le rootkit du micrologiciel CosmicStrand UEFI n'ait été découvert que récemment, il semble exister depuis un certain temps. Cela suggère que certains acteurs de la menace ont des capacités très avancées qui ont permis au micrologiciel de passer inaperçu pendant si longtemps. Nous devons maintenant nous demander quels nouveaux outils ils ont développés entre-temps et que nous n'avons pas encore découverts », commente Ivan Kwiatkowski, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse de Kaspersky.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/