Les chercheurs en cybersécurité du géant du secteur Kaspersky ont mis en garde contre une campagne de menace persistante avancée (APT), baptisée MosaicRegressor, qui utilise une variété de malware rarement vue, connue sous le nom de firmware bootkit, pour établir la persistance sur les ordinateurs cibles.
Le malware a été utilisé dans des attaques ciblées – décrit comme un cadre modulaire complexe et à plusieurs étapes utilisé pour l’espionnage et l’exfiltration de données – visant des diplomates et des employés d’organisations non gouvernementales (ONG) d’Afrique, d’Asie et d’Europe. Alors que Kaspersky a postulé un lien avec la Corée du Nord ou la Russie, la campagne ne peut pas encore être liée avec confiance à des acteurs connus.
Identifié par les scanners de Kaspersky, le malware a été trouvé tapi dans l’interface unifiée extensible des microprogrammes (UEFI) de son ordinateur cible, ce qui le rend particulièrement dangereux.
Ceci est dû au fait que l’UEFI est une partie essentielle d’une machine qui commence à s’exécuter avant le système d’exploitation (OS) proprement dit au démarrage, ce qui signifie que si son micrologiciel peut être modifié pour contenir un code malveillant, ledit code se lancera également avant l’OS, ce qui le rendra potentiellement invisible à toutes les solutions de sécurité installées.
En outre, le fait que le micrologiciel UEFI réside sur une puce flash distincte du disque dur rend les attaques à son encontre très évasives et persistantes, car quel que soit le nombre de réinstallations de l’OS, le logiciel malveillant restera sur l’appareil.
« Bien que les attaques UEFI présentent de larges opportunités pour les acteurs de la menace, MosaicRegressor est le premier cas publiquement connu où un acteur de la menace a utilisé un firmware UEFI personnalisé et malveillant dans la nature », a déclaré Mark Lechtik, chercheur principal en sécurité de Kaspersky Global Research and Analysis Team (GReAT).
« Les attaques précédemment connues observées dans la nature se contentaient de reconditionner des logiciels légitimes (par exemple, LoJax), ce qui en fait la première attaque dans la nature exploitant un bootkit UEFI sur mesure.
« Cette attaque démontre que, bien que rarement, dans des cas exceptionnels, les acteurs sont prêts à faire de gros efforts pour obtenir le plus haut niveau de persistance sur la machine d’une victime. Les acteurs de la menace continuent de diversifier leurs outils et deviennent de plus en plus créatifs dans la façon dont ils ciblent les victimes – et les fournisseurs de sécurité devraient en faire autant, pour garder une longueur d’avance sur les auteurs.
« Heureusement, la combinaison de notre technologie et de notre compréhension des campagnes actuelles et passées exploitant des micrologiciels infectés nous aide à surveiller et à signaler les futures attaques contre de telles cibles », a-t-il déclaré.
Kaspersky a déclaré que les composants du bootkit personnalisé se sont avérés être basés sur le bootkit VectorEDK développé par Hacking Team, qui a fuité il y a cinq ans. Kaspersky a déclaré qu’il soupçonnait les acteurs derrière la campagne MosaicRegressor d’avoir pu utiliser le code ayant fait l’objet d’une fuite pour construire leur propre logiciel assez facilement.
« L’utilisation d’un code source tiers ayant fait l’objet d’une fuite et sa personnalisation dans un nouveau logiciel malveillant avancé rappelle une fois de plus l’importance de la sécurité des données. Une fois qu’un logiciel – qu’il s’agisse d’un bootkit, d’un logiciel malveillant ou autre – est divulgué, les acteurs de la menace obtiennent un avantage significatif », a déclaré Igor Kuznetsov, chercheur principal en sécurité au GReAT.
« Les outils librement disponibles leur offrent la possibilité de progresser et de personnaliser leurs outils avec moins d’efforts et moins de chances d’être détectés », a-t-il ajouté.
Kaspersky a déclaré qu’il n’avait pas détecté le vecteur d’infection exact qui a permis au groupe d’écraser le micrologiciel UEFI d’origine, mais sur la base de ce qu’il savait déjà de VectorEDK, a suggéré que les infections ont pu être possibles avec un accès physique à la machine cible, plus précisément avec une clé USB amorçable contenant un utilitaire de mise à jour qui patcherait le micrologiciel pour lui faire installer un trojan téléchargeur.
Un scénario alternatif et plus probable est que les composants de MosaicRegressor ont été livrés en utilisant la livraison par harponnage d’un dropper de malware caché dans une archive, aux côtés d’un fichier leurre.