CosmicStrand : un rootkit pour l’UEFI

Nos experts ont découvert une nouvelle version de CosmicStrand. Un rootkit qui se cache dans le micrologiciel de l’UEFI.

Nos chercheurs ont examiné une nouvelle version du rootkit de CosmicStrand, qu’ils ont trouvée dans un UEFI (Interface micrologicielle extensible unifiée) modifié. Autrement dit, le code qui s’occupe du chargement initial et lance le processus de démarrage du système d’exploitation lorsque l’ordinateur est allumé.

Les dangers de ce programme malveillant dans l’UEFI

Étant donné que l’UEFI est intégré dans une puce sur la carte-mère et n’est pas écrit sur le disque dur, les manipulations du disque dur ne peuvent pas l’affecter. C’est pourquoi il est très difficile de se débarrasser d’un programme malveillant qui se trouve dans l’UEFI. Même l’effacement du disque dur et la réinstallation du système d’opération n’atteignent pas l’UEFI. C’est pour cette même raison que certaines solutions de sécurité ne peuvent pas détecter les programmes malveillants cachés dans l’UEFI. En résumé, une fois que le programme malveillant a atteint le micrologiciel, il n’en sort plus.

Évidemment, il est difficile d’infecter l’UEFI. Cette opération requiert un accès physique au dispositif, ou un mécanisme d’infection à distance du micrologiciel très sophistiqué. De plus, pour arriver à ses fins, quelles qu’elles soient, le programme malveillant doit s’installer dans l’UEFI mais aussi pénétrer dans le système d’exploitation au démarrage, ce qui est particulièrement délicat. Pour qu’elle fonctionne, cette technique exige de gros efforts. C’est pour cela que ce programme malveillant est généralement détecté lors d’attaques ciblées qui s’en prennent à des personnes ou à des entreprises très médiatisées.

Les victimes et les éventuels vecteurs d’attaque de CosmicStrand

Bizarrement, nos chercheurs ont constaté que les victimes de CosmicStrand étaient des gens ordinaires qui utilisaient la version gratuite de notre antivirus. Il semblerait que ces personnes n’ont aucun lien avec les entreprises qui intéressent généralement les cybercriminels. De plus, il s’est avéré que toutes les cartes-mères infectées étaient celles de deux fabricants. Nous pouvons en déduire que les cybercriminels ont certainement trouvé des vulnérabilités dans ces cartes-mères, ce qui a rendu possible l’infection de l’UEFI.

Nous ne savons pas exactement comment les cybercriminels ont réussi à introduire le programme malveillant. Étant donné que les victimes de CosmicStrand étaient des utilisateurs quelconques, il se pourrait que les cybercriminels à l’origine de ce rootkit savent comment infecter un UEFI à distance. Il y a toutefois d’autres explications plausibles. Par exemple, les experts de Qihoo 360, qui ont étudié les versions précédentes de CosmicStrand en 2016, ont expliqué qu’une des victimes a peut-être acheté une carte-mère modifiée à un revendeur. Dans ce cas, nos experts n’ont pas pu confirmer quelle méthode d’infection a été utilisée.

Les capacités de CosmicStrand

L’objectif principal de CosmicStrand est de télécharger un programme malveillant au démarrage du système d’exploitation, qui réalise ensuite les tâches définies par les cybercriminels. Après avoir passé toutes les étapes du processus de démarrage du système d’exploitation, le rootkit peut exécuter un shellcode et contacter le serveur de commande et contrôle des cybercriminels, qui lui envoie alors une charge malveillante.

Chaîne d'infection du rootkit CosmicStrand

Chaîne d’infection du rootkit CosmicStrand

Nos chercheurs n’ont pas pu intercepter le fichier que le serveur C&C envoie au rootkit. En revanche, ils ont trouvé dans les dispositifs infectés une partie du programme malveillant probablement liée à CosmicStrand. Ce programme malveillant crée l’utilisateur  » aaaabbbb  » dans le système d’exploitation et lui donne des droits d’administrateur local. Vous pouvez lire l’article rédigé par nos chercheurs et publié sur Securelist pour connaître tous les détails techniques de CosmicStrand.

Les rootkits sont-ils une menace ?

Depuis 2016, CosmicStrand s’est avéré très utile puisqu’il n’a pas, ou peu, attiré l’attention des chercheurs en sécurité des informations. C’est inquiétant, sans aucun doute, mais ce n’est pas si grave. Tout d’abord, il s’agit d’un programme malveillant sophistiqué et coûteux utilisé pour des attaques ciblées, et non massives ; même s’il semblerait que des gens au hasard soient parfois affectés. Ensuite, certains produits de sécurité peuvent détecter ce genre de programme malveillant. Par exemple, nos solutions de sécurité protègent les utilisateurs contre les rootkits.

Conseils