{"id":15781,"date":"2020-10-08T14:34:58","date_gmt":"2020-10-08T14:34:58","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15781"},"modified":"2020-10-08T14:34:58","modified_gmt":"2020-10-08T14:34:58","slug":"mosaicregressor-uefi-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/mosaicregressor-uefi-malware\/15781\/","title":{"rendered":"Infection malware : bootkit de l’UEFI et MosaicRegressor"},"content":{"rendered":"

Nos chercheurs ont d\u00e9couvert il y a peu une attaque cibl\u00e9e sophistiqu\u00e9e<\/a> qui s\u2019en prend aux institutions diplomatiques et aux ONG en Asie, en Europe et en Afrique. \u00c0 notre connaissance, toutes les victimes avaient un lien avec la Cor\u00e9e du Nord, que ce soit via une activit\u00e9 \u00e0 but non lucratif ou des relations diplomatiques.<\/p>\n

Les cybercriminels ont utilis\u00e9 un cadre modulaire sophistiqu\u00e9 de cyber-espionnage que nos chercheurs ont appel\u00e9 MosaicRegressor. Notre \u00e9tude r\u00e9v\u00e8le que, dans certains cas, le malware est entr\u00e9 dans l\u2019ordinateur des victimes en passant par un UEFI modifi\u00e9. Ce cas est extr\u00eamement rare mais, dans la plupart des cas, les pirates informatiques ont utilis\u00e9 le spear-phishing<\/em> (harponnage), une m\u00e9thode beaucoup plus traditionnelle.<\/p>\n

Qu\u2019est-ce que l\u2019UEFI et pourquoi le bootkit est-il dangereux ?<\/h2>\n

L\u2019UEFI, comme le BIOS (qu\u2019il remplace) est un logiciel qui s\u2019ex\u00e9cute au d\u00e9marrage de l\u2019ordinateur, m\u00eame avant que le syst\u00e8me d\u2019exploitation ne se lance. De plus, il n\u2019est pas stock\u00e9 dans le disque dur mais dans une puce de la carte m\u00e8re. Si les cybercriminels modifient le code UEFI, ils peuvent alors s\u2019en servir pour faire entrer un malware dans le syst\u00e8me de la victime.<\/p>\n

C\u2019est exactement ce que nous avons trouv\u00e9 dans la campagne d\u00e9crite ci-dessus. De plus, lorsqu\u2019ils ont cr\u00e9\u00e9 le micrologiciel modifi\u00e9 de l\u2019UEFI, les cybercriminels ont utilis\u00e9 le code source de VectorEDK, un bootkit de Hacking Team qui a \u00e9t\u00e9 mis en ligne. M\u00eame si le code source est disponible depuis 2015, c\u2019est la premi\u00e8re fois que nous avons vu les cybercriminels s\u2019en servir.<\/p>\n

Quand le syst\u00e8me d\u00e9marre, le bootkit met le fichier malveillant IntelUpdate.exe dans le dossier de d\u00e9marrage du syst\u00e8me. Le fichier ex\u00e9cutable t\u00e9l\u00e9charge et installe un autre composant de MosaicRegressor sur l\u2019ordinateur. \u00c9tant donn\u00e9 l\u2019insularit\u00e9 relative de l\u2019UEFI, m\u00eame si ce fichier malveillant est d\u00e9tect\u00e9 il est presque impossible de le supprimer. Rien n\u2019y fait, pas m\u00eame la suppression du fichier et la r\u00e9installation du syst\u00e8me d\u2019exploitation. Il faut remplacer la carte m\u00e8re pour r\u00e9soudre le probl\u00e8me.<\/p>\n\n

Pourquoi MosaicRegressor est-il dangereux ?<\/h2>\n

Les composants de MosaicRegressor qui ont r\u00e9ussi \u00e0 p\u00e9n\u00e9trer dans l\u2019ordinateur des victimes (gr\u00e2ce \u00e0 un UEFI compromis ou de l\u2019hame\u00e7onnage cibl\u00e9) se sont connect\u00e9s \u00e0 leurs serveurs C&C, ont t\u00e9l\u00e9charg\u00e9 d\u2019autres modules et les ont ex\u00e9cut\u00e9s. Ils se sont ensuite servis de ces modules pour voler des informations. Par exemple, un d\u2019eux a r\u00e9cemment envoy\u00e9 les documents ouverts aux cybercriminels.<\/p>\n

Plusieurs m\u00e9canismes ont \u00e9t\u00e9 utilis\u00e9s pour communiquer avec les serveurs C&C\u00a0: la biblioth\u00e8que de l\u2019URL (HTTP et HTTPS), l\u2019interface du service de transfert intelligent en arri\u00e8re-plan (BITS), l\u2019interface de programmation WinHTTP et les services publics de messagerie qu\u2019utilisent les protocoles POP3S, SMTPS et IMAPS.<\/p>\n

Cet article publi\u00e9 sur Securelist<\/a> offre une analyse technique plus d\u00e9taill\u00e9e du cadre malveillant MosaicRegressor et fournit des indicateurs de compromission.<\/p>\n

Comment vous prot\u00e9ger de MosaicRegressor<\/h2>\n

Pour vous prot\u00e9ger de MosaicRegressor, le spear-phishing<\/em> est la premi\u00e8re menace \u00e0 neutraliser puisque c\u2019est de cette fa\u00e7on que la plupart des attaques sophistiqu\u00e9es commencent. Pour prot\u00e9ger au mieux les dispositifs de vos employ\u00e9s, nous vous conseillons d\u2019utiliser plusieurs produits de s\u00e9curit\u00e9 \u00e9quip\u00e9s de technologies avanc\u00e9es dans la lutte contre l\u2019hame\u00e7onnage et de former vos employ\u00e9s<\/a>\u00a0pour qu\u2019ils connaissent les attaques de ce type.<\/p>\n

Nos solutions de s\u00e9curit\u00e9<\/a>\u00a0d\u00e9tectent les modules malveillants charg\u00e9 de voler les donn\u00e9es.<\/p>\n

Quant au micrologiciel compromis, malheureusement nous ne savons pas exactement comment le bootkit est entr\u00e9 dans l\u2019ordinateur des victimes. Selon les donn\u00e9es divulgu\u00e9es par Hacking Team, les cybercriminels devaient vraisemblablement avoir acc\u00e8s physiquement aux machines et utiliser une cl\u00e9 USB pour les infecter. Pourtant, nous ne pouvons pas \u00e9carter d\u2019autres m\u00e9thodes qui permettraient de mettre en danger l\u2019UEFI.<\/p>\n

Pour vous prot\u00e9ger du bootkit de l\u2019UEFI MosaicRegressor\u00a0:<\/p>\n