Les chercheurs d’ESET ont identifié une cyberattaque au cours de laquelle les attaquants ont eu recourt à un rootkit UEFI pour s’assurer une présence durable sur l’ordinateur de la victime. Baptisé LoJax par ESET, ce rootkit fait partie d’une campagne orchestrée par le groupe Sednit contre des cibles VIP en Europe Centrale et en Europe de l’Est. Il s’agit de la toute première attaque de ce type rendue publique.
« Nous savions déjà que les rootkits UEFI pouvaient exister… en théorie ! Mais notre découverte confirme désormais qu’ils sont une réalité opérationnelle pour au moins un groupe d’attaquants. Ils représentent donc une vraie menace et non plus simplement un sujet intéressant pour les conférences de sécurité ! », explique Jean-Ian Boutin, le chercheur en cybersécurité qui a dirigé chez ESET le projet de recherche sur LoJax et la campagne du groupe Sednit.
Les rootkits UEFI sont des outils extrêmement dangereux, car ils offrent à l’attaquant un contrôle total sur l’ordinateur de la victime et sont difficiles à détecter. Ils sont en outre capables de résister aux contre-mesures habituelles (et pourtant radicales !) que sont la réinstallation du système d’exploitation et même, dans certains cas, le remplacement complet du disque dur.
En outre, nettoyer un système infecté par un rootkit UEFI exige des connaissances techniques hors de portée des utilisateurs traditionnels, par exemple de savoir re-flasher un firmware.
Sednit, aussi connu sous les noms de APT28, STRONTIUM, Sofacy ou Fancy Bear, est l’un des groupes APT les plus actifs du moment et opère depuis au moins 2004. Il est soupçonné d’être à l’origine du piratage du comité national démocrate américain dans le cadre des élections présidentielles américaines de 2016, du piratage de TV5 Monde, de la fuite des emails de l’Agence mondiale antidopage (AMA), et de bien d’autres encore.
Ce groupe dispose d’un arsenal de codes malveillants très complet, dont plusieurs sont documentés par les chercheurs d’ESET dans le livre blanc qu’ils ont consacré au groupe, ainsi que dans le cadre de nombreuses publications sur le blog WeLiveSecurity.
La découverte de ce tout premier rootkit UEFI opérationnel doit alerter les utilisateurs et les entreprises, et leur faire réaliser qu’ils ne peuvent désormais plus ignorer les risques liés à la modification des firmwares.
« Il n’y a désormais plus aucune excuse pour ne pas scanner les firmwares en même temps que le reste. Certes, de telles attaques sont encore très rares et, jusqu’à présent, elles exigeaient un accès physique à la machine de la victime. Mais une telle attaque, lorsqu’elle réussit, conduit à une compromission complète de l’ordinateur et à une persistance quasi totale », poursuit Jean-Ian Boutin.
ESET est le seul, parmi les grands éditeurs de solutions de sécurité pour les postes de travail, à offrir une couche de protection dédiée à ce type d’attaque. ESET UEFI Scanner est conçu en effet pour détecter les composants malveillants au sein des firmwares PC.
« Grâce à ESET UEFI Scanner, nos clients, particuliers comme entreprises, seront mieux en mesure de détecter ce type d’attaque et de s’en protéger », conclut Juraj Malcho, CTO chez ESET.
Tekiano