Les chercheurs de Kaspersky ont découvert une nouvelle menace persistante (APT) qui utilise un type de malware rare portant le nom de « firmware bootkit ». La technologie d'analyse UEFI/BIOS de Kaspersky a identifié un malware jusqu'alors inconnu dans l'interface UEFI (Unified Extensible Firmware Interface), une fonctionnalité essentielle des appareils informatiques. Son emplacement rend très difficile sa détection et sa suppression sur les appareils infectés. Le bootkit UEFI utilisé avec le malware est une version personnalisée du bootkit de la Hacking Team, qui a fait l'objet d'une fuite en 2015. Les chercheurs de Kaspersky ont trouvé un échantillon de ces malwares dans une campagne qui déployait des variantes d'un framework modulaire complexe à plusieurs niveaux, appelé MosaicRegressor. Ce framework a été utilisé pour l'espionnage et la collecte de données, le malware UEFI étant l'une des méthodes de persistance de ce nouveau malware. Le firmware UEFI est une fonctionnalité essentielle de l'ordinateur, qui démarre avant le système d'exploitation et tous les programmes qui y sont installés. Si le firmware UEFI est modifié pour contenir un code malveillant, ce code sera lancé avant le système d'exploitation. Cette situation, ainsi que le fait que le firmware lui-même réside sur une puce flash séparée du disque dur, rend ces attaques exceptionnellement difficiles à identifier et persistantes. En effet, l'infection du firmware signifie notamment que, peu importe le nombre de fois où le système d'exploitation a été réinstallé, le malware restera sur l'appareil. Les composants du script de lancement de l'UEFI qui ont été découvert étaient largement fondés sur le script de lancement "Vector-EDK" développé par la Hacking Team et dont le code source a fuité sur Internet en 2015. Le code source divulgué a très probablement permis de créer un nouveau logiciel avec moins d'efforts de développement et un risque d'exposition réduit. Les attaques ont été découvertes grâce au Firmware Scanner, présent dans les produits Kaspersky depuis le début de l'année 2019. Cette technologie a été développée pour détecter spécifiquement les menaces se cachant dans le BIOS de la ROM, y compris les images du firmware UEFI. Bien qu'il n'ait pas été possible de détecter le vecteur d'infection exact qui permet de réécrire le firmware UEFI original, les chercheurs de Kaspersky ont émis une hypothèse sur la manière de procéder en se basant sur ce que l'on sait de VectorEDK. Ils suggèrent, sans exclure d'autres possibilités, que les infections auraient pu être possibles par un accès physique à la machine de la victime, notamment avec une clé USB qui contiendrait un utilitaire de mise à jour spécial. Une fois le firmware modifié, l'installation d'un programme de téléchargement de chevaux de Troie serait plus facile. Cependant, dans la majorité des cas, les éléments du MosaicRegressor ont été envoyés aux victimes avec des méthodes plus simples, comme la livraison par spearphishing d'un dropper caché dans une archive avec un fichier leurre. La structure à modules multiples du framework a permis aux attaquants de dissimuler le framework complet à l'analyse, et de déployer les composants sur les machines cibles uniquement à la demande. Le malware initialement installé sur l'appareil infecté est un cheval de Troie téléchargeur, un programme capable de télécharger des charges utiles supplémentaires et d'autres malwares. En fonction de la charge utile téléchargée, le malware peut télécharger ou charger des fichiers arbitraires depuis/vers des URL arbitraires et recueillir des informations sur la machine ciblée. En se fondant sur l'affiliation des victimes, les chercheurs ont pu déterminer que MosaicRegressor a été utilisé dans une série d'attaques ciblées visant des diplomates et des membres d'ONG d'Afrique, d'Asie et d'Europe. Certaines de ces attaques comprenaient le spearphishing de documents en langue russe, tandis que d'autres étaient liées à la Corée du Nord et utilisées comme appât pour télécharger des malwares. La campagne n'a pas été attribuée avec certitude à un groupe de hackers. Exemples de documents de leurre joints à des archives malveillantes envoyées aux victimes de MosaicRegressor « Les attaques UEFI offrent de nombreuses opportunités pour les cyberattaquants, cependant MosaicRegressor est le premier cas connu du public dans lequel les hackers utilisent un firmware UEFI personnalisé et malveillant en libre accès. Les attaques précédentes observées n'ont fait que réadapter des logiciels légitimes (par exemple, LoJax), ce qui en fait la première attaque utilisant un bootkit UEFI sur mesure. Cette attaque met en lumière que les hackers sont prêts à faire de grands efforts pour obtenir le plus haut niveau de persistance sur la machine d'une victime. Les hackers continuent à diversifier leurs outils et deviennent de plus en plus créatifs dans la manière dont ils ciblent les victimes – tout comme les fournisseurs de sécurité, afin de garder une longueur d'avance sur les auteurs. Heureusement, la combinaison de notre technologie et de notre compréhension des menaces utilisant des microprogrammes infectés nous aide à surveiller et à signaler les futures attaques contre de telles cibles », commente Mark Lechtik, chercheur principal en sécurité au sein de l'équipe de recherche et d'analyse globale (GReAT) de Kaspersky. « L'utilisation de codes sources tiers provenant de fuites et leur personnalisation en un nouveau malware avancé nous rappelle une fois de plus l'importance de la sécurité des données. Une fois qu'un logiciel – qu'il s'agisse d'un bootkit, d'un malware ‘autre – est divulgué, les hackers en tirent un avantage significatif. Les outils disponibles gratuitement leur donnent la possibilité d'améliorer et de personnaliser leurs outils avec moins d'efforts et moins de chances d'être détectés », commente Igor Kuznetsov, chercheur principal en sécurité au GReAT de Kaspersky. Afin de rester protégé des menaces telles que MosaicRegressor, Kaspersky recommande : * Donner aux équipes SOC l'accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans. * Pour la détection au niveau des terminaux, l'enquête et la résolution rapide des incidents, il faut mettre en œuvre des solutions EDR, telles que Kaspersky Endpoint Detection and Response. * Mettre en place une formation de base à la sécurité informatique, car de nombreuses attaques ciblées commencent par le phishing ou d'autres techniques de piratage psychologique. * Utiliser un produit de sécurité des terminaux fiable qui peut détecter l'utilisation de micrologiciels, comme Kaspersky Endpoint Security for Business. * Mettre régulièrement à jour le firmware UEFI et uniquement les firmwares provenant de fournisseurs de confiance. Une analyse plus approfondie du framework MosaicRegressor et de ses composantes est disponible sur Securelist. Pour s'inscrire à SAS@Home pour regarder la présentation de MosaicRegressor et en savoir plus sur les APT et les découvertes de haut niveau en matière de cybersécurité : https://kas.pr/tr59 A propos de Kaspersky Kaspersky est une société de cybersécurité mondiale fondée en 1997. L'expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient perpétuellement enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée et complète des terminaux et un certain nombre de solutions et de services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d'utilisateurs et 250 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.
