CosmicStrand est le dernier d’une série de logiciels malveillants sophistiqués qui atteignent des éléments matériels que vous pensez être beaucoup plus difficiles à pirater que votre installation de système d’exploitation typique. Mais plus difficile à percer ne signifie pas inaccessible, comme tout chercheur en cybersécurité vous le dira. Les chercheurs ont récemment découvert des brins d’un logiciel malveillant particulièrement astucieux caché dans les cartes mères ASUS et Gigabyte basées sur le chipset H81 d’Intel. CosmicStrand a évolué depuis sa première apparition en 2016, et il est actuellement difficile de savoir si l’évasion se limite aux offres des deux sociétés sur le marché plus large des cartes mères, mais détient une révélation plus sombre.
Des chercheurs des laboratoires de Kaspersky ont découvert le logiciel malveillant bloqué dans l’interface UEFI (Unified Extensible Firmware Interface) des cartes mères – leur secteur de démarrage, pour ainsi dire, qui est chargé d’identifier, de vérifier et de démarrer tous les bits matériels connectés. Des simples ventilateurs qui tournent jusqu’aux capacités d’overclocking de votre PC sur les processeurs de jeu les plus récents et les plus performants, tout cela mène au BIOS de votre PC. Par souci de clarté, ce n’est pas la première menace de ce type découverte – mais c’est déjà trop, et cela ajoute aux vecteurs d’infection possibles.
Étant la première chose à s’exécuter dans votre système – bien avant que toute solution antivirus que vous pourriez avoir ne puisse même être chargée en mémoire – les logiciels malveillants transmis par le BIOS peuvent être extrêmement difficiles à supprimer. Il peut échapper à la plupart des applications antivirus, ne peut pas être supprimé par une nouvelle installation du système d’exploitation et il survit naturellement aux effacements de stockage, trois des moyens les plus courants de se débarrasser des menaces de sécurité telles que celles-ci.
Les choses deviennent particulièrement délicates lorsque le logiciel malveillant peut se déployer au niveau du noyau vers votre système d’exploitation – à chaque démarrage. Pour rappel, le noyau est le cœur de votre système d’exploitation et se charge d’interfacer votre matériel avec les fonctions de haut niveau du système d’exploitation. Bien sûr, tous les systèmes d’exploitation possèdent des protections contre la falsification du noyau, mais dans ce cas, la solution de Microsoft, ThreatGuard, est neutralisée par le logiciel malveillant avant son exécution.
Comme le montre l’analyse de Kaspersky du malware, le piratage du noyau permet au malware de contrôler le flux de démarrage de l’ensemble du système d’exploitation, lui permettant de hiérarchiser les processus qui lui permettraient d’atteindre un serveur de commande et de contrôle à partir duquel il peut télécharger le reste de sa charge utile. . Kaspersky estime que ce brin de malware particulier devait être directement écrit pour le BIOS des cartes mères – il ne semble pas qu’il s’agisse d’un kit transmis par Internet.
Pour l’instant, les infections semblent confinées à la Chine, au Vietnam, à l’Iran et à la Russie. Kaspersky note qu’ils ont détecté le logiciel malveillant sur trois des ordinateurs de ses clients. Tous les clients exécutaient différentes versions du logiciel de sécurité de Kaspersky, et aucun ne partageait de connexion via une entreprise, un employeur ou autre, ajoutant un air de mystère quant au but des infections en premier lieu.
L’analyse de Kasperky indique que le logiciel malveillant CosmicStrand adapté a été créé par des acteurs menaçants de langue chinoise en raison de similitudes de codage avec la charge utile responsable du botnet MyKings – qui lui-même comprenait des restes de caractères chinois partout. Bien sûr, ce n’est pas un monde en noir et blanc : les extraits chinois auraient pu être placés là pour faire dérailler les enquêteurs. Plus de temps – et peut-être plus de cas – sont nécessaires avant de parvenir à une réponse définitive.
Kaspersky note que les caractéristiques de CosmicStrand ont placé sa création en 2016 – c’est la durée pendant laquelle ce vecteur d’infection a réussi à passer inaperçu. On ignore actuellement combien d’autres ordinateurs pourraient être infectés. Nous verrons probablement le nombre d’infections augmenter à mesure que Kaspersky et d’autres fournisseurs de sécurité se concentrent sur cette menace.
Cela soulève également la question de savoir quels logiciels malveillants du BIOS pourraient se cacher aujourd’hui, avec des années de temps pour développer et affiner une menace jusqu’à présent inconnue.
La cybersécurité est – et ne cessera jamais d’être – un jeu du chat et de la souris entre chercheurs en sécurité et acteurs de la menace. Mais compte tenu de ce que nous savons aujourd’hui sur cette infection malveillante particulière et sur la manière dont elle est réalisée, nous ne pouvons que suggérer aux utilisateurs de se méfier de l’achat de cartes mères basées sur H81 sur le marché de l’occasion. Si c’est le cas, n’oubliez pas d’exécuter une vérification antivirus, ce qui est une bonne pratique pour tout PC construit autour d’un matériel dont les pièces étaient sous le contrôle de quelqu’un d’autre.