Nos chercheurs ont découvert il y a peu une attaque ciblée sophistiquée qui s’en prend aux institutions diplomatiques et aux ONG en Asie, en Europe et en Afrique. À notre connaissance, toutes les victimes avaient un lien avec la Corée du Nord, que ce soit via une activité à but non lucratif ou des relations diplomatiques.
Les cybercriminels ont utilisé un cadre modulaire sophistiqué de cyber-espionnage que nos chercheurs ont appelé MosaicRegressor. Notre étude révèle que, dans certains cas, le malware est entré dans l’ordinateur des victimes en passant par un UEFI modifié. Ce cas est extrêmement rare mais, dans la plupart des cas, les pirates informatiques ont utilisé le spear-phishing (harponnage), une méthode beaucoup plus traditionnelle.
Qu’est-ce que l’UEFI et pourquoi le bootkit est-il dangereux ?
L’UEFI, comme le BIOS (qu’il remplace) est un logiciel qui s’exécute au démarrage de l’ordinateur, même avant que le système d’exploitation ne se lance. De plus, il n’est pas stocké dans le disque dur mais dans une puce de la carte mère. Si les cybercriminels modifient le code UEFI, ils peuvent alors s’en servir pour faire entrer un malware dans le système de la victime.
C’est exactement ce que nous avons trouvé dans la campagne décrite ci-dessus. De plus, lorsqu’ils ont créé le micrologiciel modifié de l’UEFI, les cybercriminels ont utilisé le code source de VectorEDK, un bootkit de Hacking Team qui a été mis en ligne. Même si le code source est disponible depuis 2015, c’est la première fois que nous avons vu les cybercriminels s’en servir.
Quand le système démarre, le bootkit met le fichier malveillant IntelUpdate.exe dans le dossier de démarrage du système. Le fichier exécutable télécharge et installe un autre composant de MosaicRegressor sur l’ordinateur. Étant donné l’insularité relative de l’UEFI, même si ce fichier malveillant est détecté il est presque impossible de le supprimer. Rien n’y fait, pas même la suppression du fichier et la réinstallation du système d’exploitation. Il faut remplacer la carte mère pour résoudre le problème.
Pourquoi MosaicRegressor est-il dangereux ?
Les composants de MosaicRegressor qui ont réussi à pénétrer dans l’ordinateur des victimes (grâce à un UEFI compromis ou de l’hameçonnage ciblé) se sont connectés à leurs serveurs C&C, ont téléchargé d’autres modules et les ont exécutés. Ils se sont ensuite servis de ces modules pour voler des informations. Par exemple, un d’eux a récemment envoyé les documents ouverts aux cybercriminels.
Plusieurs mécanismes ont été utilisés pour communiquer avec les serveurs C&C : la bibliothèque de l’URL (HTTP et HTTPS), l’interface du service de transfert intelligent en arrière-plan (BITS), l’interface de programmation WinHTTP et les services publics de messagerie qu’utilisent les protocoles POP3S, SMTPS et IMAPS.
Cet article publié sur Securelist offre une analyse technique plus détaillée du cadre malveillant MosaicRegressor et fournit des indicateurs de compromission.
Comment vous protéger de MosaicRegressor
Pour vous protéger de MosaicRegressor, le spear-phishing est la première menace à neutraliser puisque c’est de cette façon que la plupart des attaques sophistiquées commencent. Pour protéger au mieux les dispositifs de vos employés, nous vous conseillons d’utiliser plusieurs produits de sécurité équipés de technologies avancées dans la lutte contre l’hameçonnage et de former vos employés pour qu’ils connaissent les attaques de ce type.
Nos solutions de sécurité détectent les modules malveillants chargé de voler les données.
Quant au micrologiciel compromis, malheureusement nous ne savons pas exactement comment le bootkit est entré dans l’ordinateur des victimes. Selon les données divulguées par Hacking Team, les cybercriminels devaient vraisemblablement avoir accès physiquement aux machines et utiliser une clé USB pour les infecter. Pourtant, nous ne pouvons pas écarter d’autres méthodes qui permettraient de mettre en danger l’UEFI.
Pour vous protéger du bootkit de l’UEFI MosaicRegressor :
- Consultez le site Internet du fabricant de votre ordinateur et de la carte mère pour savoir si votre matériel est compatible avec Intel Boot Guard, qui empêche les modifications non autorisées du micrologiciel UEFI.
- Utilisez le chiffrage complet du disque pour empêcher un bootkit d’installer la charge malveillante.
- Installez des solutions de sécurité fiables et capables d’analyser et d’identifier les menaces de cette nature. Depuis 2019, nos produits ont pu rechercher des menaces qui se cachaient dans ROM BIOS et dans le micrologiciel UEFI. En réalité, notre technologie spéciale Firmware Scanner a été la première à détecter cette attaque.