Un nouveau type rare de malware est prétendument disponible sur le marché noir, contenant des fonctionnalités généralement réservées aux outils de piratage utilisés par les États qui rendent la détection pratiquement impossible pour tout logiciel antivirus.
Connu sous le nom de BlackLotus, le malware est prétendu être un kit de démarrage Unified Extensible Firmware Interface (UEFI). UEFI est la norme informatique qui sert d’interface entre le système d’exploitation et le micrologiciel ; lorsque vous allumez votre ordinateur, l’UEFI lance un chargeur de démarrage, qui à son tour démarre le noyau et le système d’exploitation.
En se chargeant à l’état de démarrage initial, le logiciel malveillant s’intègre dans le micrologiciel d’un système, ce qui lui permet de contourner tous les contrôles de sécurité du logiciel antivirus et ainsi de ne pas être détecté.
Caractéristiques lourdes
Sur un forum de logiciels malveillants en ligne où les licences BlackLotus sont apparemment vendues pour 5 000 $ chacune, le vendeur affirme que même Safe Boot ne contrecarrera pas l’outil, car un chargeur de démarrage vulnérable est utilisé. Ils ont en outre fait remarquer que l’ajout de ce chargeur de démarrage au Liste de révocation UEFI (s’ouvre dans un nouvel onglet) ne résoudrait pas le problème, car il existe actuellement des centaines d’autres avec la même vulnérabilité qui peuvent être utilisées à la place.
Un autre attribut qui rend BlackLotus si potentiellement dangereux est sa protection apparente Ring 0/kernel. Les ordinateurs fonctionnent à l’aide d’anneaux de protection qui compartimentent le système en différents niveaux en fonction de leur importance fondamentale pour le fonctionnement de la machine, afin d’empêcher les menaces et les défauts potentiels de fuir dans d’autres parties.
L’accès à travers ces anneaux devient progressivement plus difficile. Au cœur se trouve Ring 0, qui contient le noyau : c’est ce qui connecte votre logiciel à votre matériel. Cet anneau représente le plus haut niveau de protection en termes d’accès, donc si BlackLotus a effectivement une protection anneau 0, alors il serait extrêmement difficile de s’en débarrasser.
Le vendeur a également affirmé que BlackLotus a la capacité de désactiver Windows Defender et est livré avec un anti-débogage pour empêcher la détection des analyses de logiciels malveillants.
N’est plus entre les mains de l’État
Les experts avertissent que les logiciels malveillants à l’échelle de BlackLotus ne sont plus la seule compétence des gouvernements et des États. Sergey Lozhkin, chercheur principal en sécurité chez Kaspersky, a déclaré (s’ouvre dans un nouvel onglet)« Auparavant, ces menaces et technologies n’étaient accessibles qu’aux personnes qui développaient des menaces persistantes avancées, principalement des gouvernements. Aujourd’hui, ce type d’outils est entre les mains de criminels partout sur les forums. »
L’année dernière, un autre bootkit UEFI connu sous le nom d’ESpecter a été découvert et avait apparemment été conçu il y a au moins 10 ans pour être utilisé sur les systèmes BIOS, le précurseur de l’UEFI. Leur disponibilité en dehors des groupes étatiques reste encore très rare, du moins pour l’instant.
Un autre expert en sécurité – Eclypsium CTO Scott Scheferman – a tenté de tempérer les inquiétudes en disant qu’ils ne pouvaient pas encore être sûrs des prétendues affirmations de BlackLotus, affirmant que même si cela pouvait représenter un bond en avant en termes de facilité d’accès à des outils aussi puissants, il peut encore être à ses débuts de production et ne pas fonctionner aussi efficacement qu’on le prétend.
Quoi qu’il en soit, la marche du progrès évolue très rapidement dans le monde cybercriminel, et si des bénéfices peuvent être tirés de la production et de l’utilisation de logiciels malveillants aussi puissants, la demande pour son développement et son amélioration ne manquera pas. Une fois que le chat est sorti du sac, il est très difficile de le remettre à nouveau.