Accueil

Qu'est-ce que le rootkit UEFI «LoJax» développé par des pirates informatiques russes?

Added 2018-11-01


Un rootkit est un type de malware particulièrement méchant. Une infection par des logiciels malveillants «normale» se charge lorsque vous entrez dans le système d'exploitation. La situation est toujours mauvaise, mais un antivirus correct devrait supprimer les logiciels malveillants et nettoyer votre système.

À l’inverse, un rootkit s’installe sur le micrologiciel de votre système et permet l’installation d’une charge utile illicite à chaque redémarrage de votre système.

Les chercheurs en sécurité ont repéré une nouvelle variante du rootkit, appelée LoJax. Qu'est-ce qui distingue ce rootkit des autres? Eh bien, il peut infecter les systèmes modernes basés sur UEFI, plutôt que les anciens systèmes basés sur le BIOS. Et c'est un problème.

Le rootkit UEFI LoJax

ESET Research publié  un document de recherche qui détaille LoJax, un rootkit récemment découvert (qu'est-ce qu'un rootkit? ) qui réutilise avec succès un logiciel commercial du même nom. (L’équipe de recherche althouhe a baptisé le malware «LoJax», le véritable logiciel est nommé «LoJack».)

En ajoutant à la menace, LoJax peut survivre à une réinstallation complète de Windows et même au remplacement du disque dur.

Comment fonctionne le rootkit LoJax?

LoJax utilise une version reconditionnée du logiciel antivol LoJack d’Absolute Software. L'outil d'origine est conçu pour être persistant tout au long de l'effacement du système ou du remplacement du disque dur afin que le détenteur de licence puisse suivre un périphérique volé. Les raisons pour lesquelles l'outil s'enfonce si profondément dans l'ordinateur sont assez légitimes, et LoJack est toujours un produit antivol populaire pour ces qualités exactes.

Étant donné qu'aux États-Unis, 97% des ordinateurs portables volés sont jamais récupéré , c’est compréhensible. Les utilisateurs veulent une protection supplémentaire pour un investissement aussi coûteux.

LoJax utilise un pilote de noyau, RwDrv.sys , pour accéder aux paramètres BIOS / UEFI. Le pilote du noyau est fourni avec RWEverything, un outil légitime utilisé pour lire et analyser les paramètres d’ordinateur de bas niveau (bits auxquels vous n’avez normalement pas accès). Le processus d’infection par rootkit LoJax comportait trois autres outils:

  • Le premier outil exporte des informations sur les paramètres système de bas niveau (copiés de RWEverything) dans un fichier texte. Contourner la protection du système contre les mises à jour de microprogrammes malveillants nécessite la connaissance du système.
  • Le deuxième outil «enregistre une image du micrologiciel du système dans un fichier en lisant le contenu de la mémoire flash SPI». La mémoire flash SPI héberge l'UEFI / BIOS.
  • Un troisième outil ajoute le module malveillant à l’image du microprogramme, puis le réécrit dans la mémoire flash SPI.

Si LoJax réalise que la mémoire flash SPI est protégée, il exploite une vulnérabilité connue ( CVE-2014-8273 ) pour y accéder, puis continue et écrit le rootkit en mémoire.

D'où vient LoJax?

L’équipe de recherche ESET estime que LoJax est l’œuvre du tristement célèbre groupe russe de piratage Fancy Bear / Sednit / Strontium / APT28. Le groupe de piratage informatique est responsable de plusieurs attaques majeures au cours des dernières années.

LoJax utilise les mêmes serveurs de commande et de contrôle que SedUploader, un autre malware de la porte dérobée Sednit. LoJax contient également des liens et des traces d'autres programmes malveillants Sednit, notamment XAgent (un autre outil de porte dérobée) et XTunnel (un outil de proxy réseau sécurisé).

En outre, la recherche ESET a révélé que les opérateurs de programmes malveillants "utilisaient différents composants du logiciel malveillant LoJax pour cibler quelques organisations gouvernementales dans les Balkans ainsi qu'en Europe centrale et orientale".

LoJax n’est pas le premier rootkit UEFI

La nouvelle de LoJax a certainement amené le monde de la sécurité à prendre note. Cependant, ce n’est pas le premier rootkit UEFI. The Hacking Team (un groupe malveillant, au cas où vous vous le demanderiez) utilisait un rootkit UEFI / BIOS  en 2015 pour conserver un agent de système de contrôle à distance installé sur les systèmes cibles.

La principale différence entre le rootkit UEFI de l'équipe de piratage et LoJax réside dans le mode de livraison. À l'époque, les chercheurs en sécurité estimaient que l'équipe de piratage avait besoin d'un accès physique à un système pour installer l'infection au niveau du microprogramme. Bien sûr, si quelqu'un a un accès direct à votre ordinateur, il peut faire ce qu'il veut. Malgré tout, le rootkit UEFI est particulièrement méchant.

Votre système est-il à risque de LoJax?

Les systèmes modernes basés sur UEFI présentent plusieurs avantages distincts par rapport à leurs homologues plus anciens basés sur le BIOS.

D'une part, ils sont plus récents. Le nouveau matériel n’est pas le tout, mais il facilite de nombreuses tâches informatiques.

Deuxièmement, le micrologiciel UEFI comporte également quelques fonctionnalités de sécurité supplémentaires. Le démarrage sécurisé est particulièrement intéressant, car il ne permet que les programmes portant une signature numérique signée .

Si cette option est désactivée et que vous rencontrez un rootkit, vous aurez du temps. Secure Boot est également un outil particulièrement utile à l’ère des ransomwares. Découvrez la vidéo suivante de Secure Boot traitant du très dangereux ransomware NotPetya:

NotPetya aurait tout chiffré sur le système cible si Secure Boot avait été désactivé.

Cependant, à l'instar de nombreuses menaces présentant ce niveau de capacité, votre ordinateur est une cible de choix. Les logiciels malveillants avancés se concentrent principalement sur des cibles de haut niveau. En outre, LoJax a les indications d'une implication d'acteurs menaçants d'un État-nation; une autre chance forte que LoJax ne vous affecte pas à court terme. Cela dit, les logiciels malveillants sont un moyen de filtrer dans le monde. Si les cybercriminels détectent l'utilisation réussie de LoJax, il pourrait devenir plus courant dans les attaques de logiciels malveillants classiques.






Nuage de tags

Choix de L'éditeur


Thomas Becket

Je suis un écrivain indépendant qui couvre la programmation et les logiciels.
Je suis étudiant en informatique et je m'intéresse à la programmation, aux logiciels et à la technologie
Gadgets technologiques et critiques 2019