La découverte d’un nouveau rootkit UEFI révèle une horrible vérité : les attaques nous sont invisibles

Getty Images

Les chercheurs ont déballé une découverte majeure en matière de cybersécurité : un rootkit malveillant basé sur UEFI utilisé dans la nature depuis 2016 pour s’assurer que les ordinateurs restent infectés même si un système d’exploitation est réinstallé ou si un disque dur est complètement remplacé.

Le micrologiciel compromet l’UEFI, la chaîne de micrologiciels de bas niveau et très opaque requise pour démarrer presque tous les ordinateurs modernes. En tant que logiciel qui relie le micrologiciel d’un périphérique PC à son système d’exploitation, l’UEFI (abréviation de Unified Extensible Firmware Interface) est un système d’exploitation à part entière. Il est situé dans une puce de stockage flash connectée SPI soudée sur la carte mère de l’ordinateur, ce qui rend difficile l’inspection ou la correction du code. Parce que c’est la première chose à exécuter lorsqu’un ordinateur est allumé, cela influence le système d’exploitation, les applications de sécurité et tous les autres logiciels qui suivent.

Exotique, oui. Rare, non.

Lundi, des chercheurs de Kaspersky ont dressé le profil de CosmicStrand, le nom de la société de sécurité pour un rootkit UEFI sophistiqué que la société a détecté et obtenu via son logiciel antivirus. La découverte fait partie d’une poignée de ces menaces UEFI connues pour avoir été utilisées dans la nature. Jusqu’à récemment, les chercheurs supposaient que les exigences techniques requises pour développer un logiciel malveillant UEFI de ce calibre le mettaient hors de portée de la plupart des acteurs de la menace. Maintenant, Kaspersky attribuant CosmicStrand à un groupe de piratage chinois inconnu ayant des liens possibles avec des logiciels malveillants de cryptominage, ce type de logiciel malveillant n’est peut-être pas si rare après tout.

“L’aspect le plus frappant de ce rapport est que cet implant UEFI semble avoir été utilisé dans la nature depuis la fin de 2016, bien avant que les attaques UEFI ne commencent à être décrites publiquement”, ont écrit les chercheurs de Kaspersky. « Cette découverte soulève une dernière question : si c’est ce que les attaquants utilisaient à l’époque, qu’utilisent-ils aujourd’hui ?
Publicité

Alors que les chercheurs de la société de sécurité Qihoo360 ont signalé une variante antérieure du rootkit en 2017, Kaspersky et la plupart des autres sociétés de sécurité basées en Occident n’en ont pas tenu compte. Les recherches les plus récentes de Kaspersky décrivent en détail comment le rootkit, présent dans les images de firmware de certaines cartes mères Gigabyte ou Asus, est capable de détourner le processus de démarrage des machines infectées. Les fondements techniques attestent de la sophistication du malware.

Un rootkit est un logiciel malveillant qui s’exécute dans les régions les plus profondes du système d’exploitation qu’il infecte. Il tire parti de cette position stratégique pour cacher des informations sur sa présence au système d’exploitation lui-même. Un bootkit, quant à lui, est un logiciel malveillant qui infecte le processus de démarrage d’une machine afin de persister sur le système. Successeur du BIOS hérité, UEFI est une norme technique définissant la manière dont les composants peuvent participer au démarrage d’un système d’exploitation. C’est le plus «récent», car il a été introduit vers 2006. Aujourd’hui, presque tous les appareils prennent en charge UEFI en ce qui concerne le processus de démarrage. Le point clé ici est que lorsque nous disons que quelque chose se passe au niveau UEFI, cela signifie que cela se produit au démarrage de l’ordinateur, avant même que le système d’exploitation ait été chargé. Quelle que soit la norme utilisée au cours de ce processus, ce n’est qu’un détail de mise en œuvre, et en 2022, ce sera presque toujours UEFI de toute façon.

Dans un e-mail, le chercheur de Kaspersky, Ivan Kwiatkowski, a écrit :

Ainsi, un rootkit peut ou non être un bootkit, selon l’endroit où il est installé sur la machine de la victime. Un bootkit peut ou non être un rootkit, tant qu’il a infecté un composant utilisé pour le démarrage du système (mais compte tenu de leur bas niveau, les bootkits seront généralement des rootkits). Et le firmware est l’un des composants qui peuvent être infectés par les bootkits, mais il y en a d’autres aussi. CosmicStrand se trouve être tout cela en même temps : il a les capacités furtives du rootkit et infecte le processus de démarrage par le biais de correctifs malveillants de l’image du micrologiciel des cartes mères.

Le flux de travail de CosmicStrand consiste à définir des “crochets” à des points soigneusement sélectionnés du processus de démarrage. Les crochets sont des modifications du flux d’exécution normal. Ils se présentent généralement sous la forme de code supplémentaire développé par l’attaquant, mais dans certains cas, un utilisateur légitime peut injecter du code avant ou après une fonction particulière pour apporter de nouvelles fonctionnalités.

Le flux de travail CosmicStrand ressemble à ceci :

  • Le micrologiciel initialement infecté démarre toute la chaîne.
  • Le logiciel malveillant configure un crochet malveillant dans le gestionnaire de démarrage, lui permettant de modifier le chargeur de noyau de Windows avant son exécution.
  • En altérant le chargeur du système d’exploitation, les attaquants sont capables de configurer un autre crochet dans une fonction du noyau Windows.
  • Lorsque cette fonction est appelée ultérieurement lors de la procédure de démarrage normale du système d’exploitation, le logiciel malveillant prend le contrôle du flux d’exécution une dernière fois.
  • Il déploie un shellcode en mémoire et contacte le serveur C2 pour récupérer la charge utile malveillante réelle à exécuter sur la machine de la victime.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire