CosmicStrand: un rootkit de firmware avancé capable de persistance à long terme
Les experts de Kaspersky ont découvert un rootkit développé par un acteur opérant des menaces persistantes avancées (APT, advanced persistent threat en anglais) qui reste sur l’ordinateur attaqué, même en réinitialisant le système d’exploitation et Windows, ce qui en fait une menace très dangereuse sur long terme
Baptisé “CosmicStrand”, ce rootkit UEFI a surtout été utilisé dans des attaques visant des particuliers en Chine, avec de rares cas au Vietnam, en Iran et en Russie.
Le logiciel UEFI est un composant essentiel de la grande majorité du matériel informatique. Son code est celui qui permet le démarrage d’un appareil et le lancement du logiciel qui exécute le système d’exploitation. Si on parvient à modifier le code de l’UEFI pour y insérer du contenu malveillant, alors ce dernier sera lu avant le lancement du système d’exploitation, rendant son activité invisible aux solutions antivirus. Le firmware étant stocké sur une puce distincte du disque dur, les attaques ciblant le programme UEFI sont particulièrement imperceptibles et persistantes, car le malware reste sur l’appareil malgré les tentatives de réinstallation du système d’exploitation.
CosmicStrand, le nouveau firmware découvert par les équipes de Kaspersky, est attribué à un opérateur sinophone inconnu. Le motif des attaques reste encore indéterminé, mais on ne recense que des particuliers parmi les victimes (et non des équipements professionnels).
Tous les ordinateurs touchés jusqu’ici utilisaient Windows: à chaque redémarrage, un bout de code malveillant était exécuté après le lancement de Windows. Leur but était de se connecter à un serveur C2 (Commande & Control) pour télécharger un malware supplémentaire.
Les chercheurs n’ont pas réussi à déterminer comment le rootkit a pu se retrouver sur les machines infectées, mais des comptes non-vérifiés découverts en ligne indiquent que certains utilisateurs auraient reçu du matériel infecté en commandant des composants sur internet.
Le plus surprenant, c’est que CosmicStrand semble circuler sous le manteau depuis fin 2016, bien longtemps avant que les attaques UEFI ne soient publiquement exposées.
“Bien que sa découverte soit récente, il semblerait que le rootkit CosmicStrand soit déployé depuis assez longtemps. Cela nous apprend que certains cybercriminels ont des compétences très poussées qu’ils ont réussi à dissimuler depuis 2017. Il nous reste à découvrir les nouveaux outils qu’ils ont développés depuis.” commente Ivan Kwiatkowski, chercheur senior de l’équipe Global Research & Analysis (GReAT) de Kaspersky.
Une analyse plus détaillée du fonctionnement de CosmicStrand et de ses composants est disponible sur SecureList
Pour se protéger des menaces comme CosmicStrand, Kapsersky vous donne les conseils suivants:
- Donnez à votre équipe SOC un accès aux dernières informations sur la Threat Intelligence (TI). Le portail Kaspersky Threat Intelligence est un point d'accès unique à la TI, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
- Mettez en place des solutions EDR pour la détection des problèmes au niveau des terminaux, l'investigation et la neutralisation rapide des menaces, telles que Kaspersky Endpoint Detection and Response.
- Dispensez à votre personnel une formation de base sur la cybersécurité, car de nombreuses attaques ciblées commencent par du phishing et autres techniques d'ingénierie sociale.
- Utilisez un produit EDR efficace capable de détecter l'utilisation de firmware, tel que Kaspersky Endpoint Security for Business.
- Mettez régulièrement à jour votre logiciel UEFI et n'utilisez que des programmes provenant de fournisseurs de confiance.
CosmicStrand: un rootkit de firmware avancé capable de persistance à long terme
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >