Les chercheurs de Kaspersky ont découvert une nouvelle menace persistante (APT) qui utilise un type de malware rare appelé « firmware bootkit ». La technologie d’analyse UEFI / BIOS de Kaspersky a identifié un malware jusqu’alors inconnu dans l’interface UEFI (Unified Extensible Firmware Interface), une fonctionnalité essentielle des appareils informatiques. Son emplacement rend très difficile sa détection et sa suppression sur les appareils infectés. Le bootkit UEFI utilisé avec le malware est une version personnalisée du bootkit de la Hacking Team, qui a fait l’objet d’une fuite en 2015.
Les chercheurs de Kaspersky ont trouvé un échantillon de ces malwares dans une campagne qui déployait des variantes d’un framework modulaire complexe à plusieurs niveaux, appelé MosaicRegressor. Ce framework a été utilisé pour l’espionnage et la collecte de données, le malware UEFI étant l’une des méthodes de persistance de ce nouveau malware.
Le firmware UEFI est une fonctionnalité essentielle de l’ordinateur, qui démarre avant le système d’exploitation et tous les programmes qui y sont installés. Si le firmware UEFI est modifié pour contenir un code malveillant, ce code sera lancé avant le système d’exploitation. Cette situation, ainsi que le fait que le firmware lui-même réside sur une puce flash séparée du disque dur, rend ces attaques exceptionnellement difficiles à identifier et persistantes. En effet, l’infection du firmware signifie notamment que, peu importe le nombre de fois où le système d’exploitation a été réinstallé, le malware restera sur l’appareil.
Les composants du script de lancement de l’UEFI qui ont été découvert étaient largement fondés sur le script de lancement “Vector-EDK” développé par la Hacking Team et dont le code source a fuité sur Internet en 2015. Le code source divulgué a très probablement permis de créer un nouveau logiciel avec moins d’efforts de développement et un risque d’exposition réduit. Les attaques ont été découvertes grâce au Firmware Scanner, présent dans les produits Kaspersky depuis le début de l’année 2019. Cette technologie a été développée pour détecter spécifiquement les menaces se cachant dans le BIOS de la ROM, y compris les images du firmware UEFI.
Bien qu’il n’ait pas été possible de détecter le vecteur d’infection exact qui permet de réécrire le firmware UEFI original, les chercheurs de Kaspersky ont émis une hypothèse sur la manière de procéder en se basant sur ce que l’on sait de VectorEDK. Ils suggèrent, sans exclure d’autres possibilités, que les infections auraient pu être possibles par un accès physique à la machine de la victime, notamment avec une clé USB qui contiendrait un utilitaire de mise à jour spécial. Une fois le firmware modifié, l’installation d’un programme de téléchargement de chevaux de Troie serait plus facile.
Cependant, dans la majorité des cas, les éléments du MosaicRegressor ont été envoyés aux victimes avec des méthodes plus simples, comme la livraison par spearphishing d’un dropper caché dans une archive avec un fichier leurre. La structure à modules multiples du framework a permis aux attaquants de dissimuler le framework complet à l’analyse, et de déployer les composants sur les machines cibles uniquement à la demande. Le malware initialement installé sur l’appareil infecté est un cheval de Troie téléchargeur, un programme capable de télécharger des charges utiles supplémentaires et d’autres malwares. En fonction de la charge utile téléchargée, le malware peut télécharger ou charger des fichiers arbitraires depuis/vers des URL arbitraires et recueillir des informations sur la machine ciblée.
En se fondant sur l’affiliation des victimes, les chercheurs ont pu déterminer que MosaicRegressor a été utilisé dans une série d’attaques ciblées visant des diplomates et des membres d’ONG d’Afrique, d’Asie et d’Europe. Certaines de ces attaques comprenaient le spearphishing de documents en langue russe, tandis que d’autres étaient liées à la Corée du Nord et utilisées comme appât pour télécharger des malwares. La campagne n’a pas été attribués avec certitude à un groupe de hackers.
Communiqué