Des chercheurs de la société de cybersécurité Kaspersky ont découvert une nouvelle forme de malware qui réside dans l’UEFI de la carte mère. Le logiciel malveillant est une forme de rootkit qui reste présent même après que le disque dur ou le SSD hôte a été effacé ou remplacé.
Les ingénieurs de Kaspersky (via Bleeping Computer (s’ouvre dans un nouvel onglet)) l’a nommé CosmicStrand (s’ouvre dans un nouvel onglet). Il s’agirait d’une évolution d’un malware antérieur appelé Spy Shadow Trojan qui a été découvert dès 2016. Les chercheurs ont trouvé le malware CosmicStrand dans le firmware des cartes mères Asus et Gigabyte. Pas de panique cependant ! Je vais t’expliquer.
Les systèmes infectés exécutaient des cartes mères basées sur le chipset H81, qui date de plusieurs années. Un attaquant aurait également besoin d’accéder au système ou d’installer un logiciel malveillant différent pour mettre à jour ou corriger le micrologiciel afin d’injecter le logiciel malveillant CosmicStrand. Donc, si vous lisez ceci, ne pensez pas que les systèmes Asus ou Gigabyte n’ont pas été sécurisés pendant toutes ces années ou que votre système est compromis. Jusqu’à ce qu’il y ait d’autres recherches, il se peut que CosmicStrand ne puisse tirer parti que d’une éventuelle vulnérabilité H81 UEFI.
Le malware met en place une série de crochets qui permettent l’accès au noyau Windows, conduisant finalement le système d’exploitation infecté à récupérer une charge utile qui s’exécutera sur la machine de la victime. Les ingénieurs de Kaspersky n’ont pas été en mesure de récupérer la charge utile elle-même, mais ils pensent que le logiciel malveillant partage des modèles de code avec un groupe chinois responsable du botnet de crypto-minage MyKings. Et c’est de cela qu’il s’agit habituellement. Des scumbags essayant de voler ou de gagner de l’argent.
L’UEFI, ou Unified Extensible Firmware Interface, est presque comme un mini système d’exploitation. C’est l’interface entre le matériel et le logiciel du système, ce qui signifie qu’il influence le système d’exploitation et tous les logiciels du système. L’UEFI est généralement sécurisé et nécessite une connaissance spécifique du code. Il existe très peu de menaces UEFI connues.
Le rapport de Kaspersky indique que « les multiples rootkits découverts jusqu’à présent témoignent d’un angle mort dans notre industrie qui doit être résolu le plus tôt possible ».
Ainsi, bien que la menace soit limitée, elle met en lumière la nécessité pour l’industrie de prêter une attention particulière aux éventuelles vulnérabilités. L’attrait d’un million de machines infectées exploitant secrètement une crypto-monnaie est une énorme carotte pendante pour un acteur malveillant.