Un nouveau type de malware emprunte un chemin résolument plus furtif et difficile à supprimer dans votre système d’exploitation – il se cache dans votre puce BIOS et reste donc même après la réinstallation de votre système d’exploitation ou le formatage de votre disque dur.
Kaspersky a observé la croissance des menaces de logiciels malveillants du micrologiciel Unified Extensible Firmware Interface (UEFI) depuis 2019, la plupart des logiciels malveillants étant stockés sur la partition système EFI du périphérique de stockage du PC. Cependant, un développement sinistre a été repéré au cours de la nouvelle année avec un nouveau logiciel malveillant UEFI, détecté par les journaux du scanner du micrologiciel de Kasperksy, qui implante un code malveillant dans le flash SPI (Serial Peripheral Interface) de la carte mère. Les chercheurs en sécurité ont surnommé « MoonBounce » ce logiciel malveillant UEFI résidant dans la mémoire flash.
MoonBounce n’est pas le premier malware UEFI découvert dans la nature qui cible le flash SPI. Kaspersky dit que LoJax et MosaicRegressor l’ont précédé. Cependant, MoonBounce montre « des progrès significatifs, avec un flux d’attaque plus compliqué et une plus grande sophistication technique ». Il semble également avoir infecté une machine à distance.
MoonBounce est indéniablement intelligent dans la façon dont il pénètre dans un système et se rend difficile à détecter et à éliminer. « La source de l’infection commence par un ensemble de crochets qui interceptent l’exécution de plusieurs fonctions dans la table des services de démarrage EFI », explique Kaspersky sur son blog SecureList. Les crochets sont ensuite utilisés pour détourner les appels de fonction vers le shellcode malveillant que les attaquants ont ajouté à l’image CORE_DXE. Ceci, à son tour, « établit des crochets supplémentaires dans les composants suivants de la chaîne de démarrage, à savoir le chargeur Windows », ont déclaré les chercheurs en sécurité. Cela permet au logiciel malveillant d’être injecté dans un processus svchost.exe lorsque l’ordinateur démarre sous Windows.
Transport Technology Company, la seule attaque enregistrée à ce jour
Bien sûr, Kaspersky était intéressé de voir ce que le malware ferait ensuite. Ainsi, sur une machine infectée, les chercheurs ont observé que le processus malveillant essayait d’accéder à une URL pour récupérer la charge utile de l’étape suivante et l’exécuter en mémoire. Fait intéressant, cette partie de l’attaque sophistiquée ne semblait aller nulle part, il n’a donc pas été possible d’analyser d’autres étapes dans MoonBounce. Peut-être que ce logiciel malveillant était encore en phase de test lorsqu’il a été repéré et/ou qu’il est retenu à des fins particulières. De plus, le logiciel malveillant n’est pas basé sur des fichiers et effectue au moins certaines de ses opérations uniquement en mémoire, ce qui rend difficile de voir exactement ce que MoonBounce a fait sur le seul PC hôte du réseau d’une entreprise.
Une seule machine, appartenant à une société de transport, semble être la seule machine sur les journaux de Kaspersky qui a une infection MoonBounce dans son SPI Flash. On ne sait pas exactement comment l’infection s’est produite, mais on pense qu’elle a été provoquée à distance. Cette seule machine d’une entreprise de technologie de transport semble avoir propagé des implants de logiciels malveillants non UEFI à d’autres machines du réseau. Avec une grande partie de son travail sans fichier et résident uniquement en mémoire, il n’est pas facile d’observer à partir de cet échantillon unique.
Ci-dessous, un organigramme explique comment MoonBounce démarre et se déploie à partir du moment où votre PC UEFI est allumé, via le chargement de Windows, et en étant un PC utilisable mais infecté.
Empreintes digitales APT41 détectées
Une autre branche importante du travail effectué par des chercheurs en sécurité comme Kaspersky consiste à déterminer qui se cache derrière le malware qu’il découvre, quels sont les objectifs du malware et pour quelles cibles spécifiques le malware est amorcé.
En ce qui concerne MoonBounce, Kaspersky semble à peu près certain que ce malware est le produit d’APT41, « un acteur menaçant qui a été largement signalé comme étant de langue chinoise ». Dans ce cas, le pistolet fumant est un « certificat unique » que le FBI a précédemment signalé comme signalant l’utilisation de l’infrastructure appartenant à APT41. APT41 a des antécédents d’attaques de la chaîne d’approvisionnement, il s’agit donc d’une continuation d’un fil conducteur des opérations néfastes d’APT41.
Mesures de sécurité
Pour éviter d’être victime de MoonBounce ou d’un logiciel malveillant UEFI similaire, Kaspersky suggère un certain nombre de mesures. Il recommande aux utilisateurs de maintenir leur micrologiciel UEFI mis à jour directement par le fabricant, de vérifier que BootGuard est activé le cas échéant et d’activer Trust Platform Modules. Enfin, il recommande une solution de sécurité qui analyse les problèmes du micrologiciel du système afin que des mesures puissent être prises lorsque des logiciels malveillants UEFI sont détectés.