La technologie de scannage de Kaspersky a découvert un type extrêmement rare de malware dans l’Unified Extensible Firmware Interface (UEFI). Comme il s’agit là d’un élément essentiel d’un PC, il est malaisé, selon la firme de sécurité, de détecter les appareils infectés et d’en supprimer le maliciel.
L’UEFI-bootkit utilisé avec le malware est une version adaptée du firmware-bootkit d’Hacking Team découvert en 2015. Lorsque le firmware UEFI est modifié et contient par exemple du code nuisible, ce dernier est démarré avant même le système d’exploitation. Il en résulte que son activité est invisible pour les solutions de sécurité, prévient Kaspersky.
Particulièrement persistantes
En combinaison avec le fait que le firmware se trouve sur une puce flash séparée du disque dur, les attaques sur l’UEFI sont particulièrement persistantes. Le maliciel installé par le bootkit demeure en effet dans l’appareil, peu importe la fréquence de réinstallation du système d’exploitation.
Kaspersky a découvert un échantillon de ce malware, utilisé dans une campagne où étaient implémentées des variantes d’une structure modulaire complexe appelée MosaicRegressor. Cette structure a été exploitée à des fins d’espionnage et de collecte de données, pour lesquelles le maliciel UEFI constitua l’une des méthodes persistantes.
Bootkit d’Hacking Team
Les composants dévoilés de l’UEFI-bootkit étaient fortement basés sur le bootkit Vector-EDK d’Hacking Team, dont le code-source a été divulgué en ligne en 2015. Ce code permettait à des personnes mal intentionnées de créer assez facilement leur propre logiciel, qui pouvait par ailleurs passer aisément inaperçu. Selon Kaspersky, les infections se sont sans doute produites en raison d’un accès physique à la machine de la victime. Très probablement au moyen d’une clé USB démarrable contenant un programme de mise à jour spécial. Le firmware corrigé faciliterait l’installation d’un télé-chargeur de chevaux de Troie.
Sur base des liens avec les victimes découvertes, les chercheurs ont pu constater que MosaicRegressor a été utilisé pour une série d’attaques ciblant des diplomates et des membres d’ONG en Afrique, Asie et Europe.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici