{"id":19233,"date":"2022-07-29T14:55:44","date_gmt":"2022-07-29T12:55:44","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19233"},"modified":"2022-07-29T14:55:44","modified_gmt":"2022-07-29T12:55:44","slug":"cosmicstrand-uefi-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cosmicstrand-uefi-rootkit\/19233\/","title":{"rendered":"CosmicStrand : un rootkit pour l’UEFI"},"content":{"rendered":"

Nos chercheurs ont examin\u00e9 une nouvelle version du rootkit de CosmicStrand<\/a>, qu\u2019ils ont trouv\u00e9e dans un UEFI<\/a> (Interface micrologicielle extensible unifi\u00e9e) modifi\u00e9. Autrement dit, le code qui s\u2019occupe du chargement initial et lance le processus de d\u00e9marrage du syst\u00e8me d\u2019exploitation lorsque l\u2019ordinateur est allum\u00e9.<\/p>\n

Les dangers de ce programme malveillant dans l\u2019UEFI<\/h2>\n

\u00c9tant donn\u00e9 que l\u2019UEFI est int\u00e9gr\u00e9 dans une puce sur la carte-m\u00e8re et n\u2019est pas \u00e9crit sur le disque dur, les manipulations du disque dur ne peuvent pas l\u2019affecter. C\u2019est pourquoi il est tr\u00e8s difficile de se d\u00e9barrasser d\u2019un programme malveillant qui se trouve dans l\u2019UEFI. M\u00eame l\u2019effacement du disque dur et la r\u00e9installation du syst\u00e8me d\u2019op\u00e9ration n\u2019atteignent pas l\u2019UEFI. C\u2019est pour cette m\u00eame raison que certaines solutions de s\u00e9curit\u00e9 ne peuvent pas d\u00e9tecter les programmes malveillants cach\u00e9s dans l\u2019UEFI. En r\u00e9sum\u00e9, une fois que le programme malveillant a atteint le micrologiciel, il n\u2019en sort plus.<\/p>\n

\u00c9videmment, il est difficile d\u2019infecter l\u2019UEFI. Cette op\u00e9ration requiert un acc\u00e8s physique au dispositif, ou un m\u00e9canisme d\u2019infection \u00e0 distance du micrologiciel tr\u00e8s sophistiqu\u00e9. De plus, pour arriver \u00e0 ses fins, quelles qu\u2019elles soient, le programme malveillant doit s\u2019installer dans l\u2019UEFI mais aussi p\u00e9n\u00e9trer dans le syst\u00e8me d\u2019exploitation au d\u00e9marrage, ce qui est particuli\u00e8rement d\u00e9licat. Pour qu\u2019elle fonctionne, cette technique exige de gros efforts. C\u2019est pour cela que ce programme malveillant est g\u00e9n\u00e9ralement d\u00e9tect\u00e9 lors d\u2019attaques cibl\u00e9es qui s\u2019en prennent \u00e0 des personnes ou \u00e0 des entreprises tr\u00e8s m\u00e9diatis\u00e9es.<\/p>\n

Les victimes et les \u00e9ventuels vecteurs d\u2019attaque de CosmicStrand<\/h2>\n

Bizarrement, nos chercheurs ont constat\u00e9 que les victimes de CosmicStrand \u00e9taient des gens ordinaires qui utilisaient la version gratuite de notre antivirus. Il semblerait que ces personnes n\u2019ont aucun lien avec les entreprises qui int\u00e9ressent g\u00e9n\u00e9ralement les cybercriminels. De plus, il s\u2019est av\u00e9r\u00e9 que toutes les cartes-m\u00e8res infect\u00e9es \u00e9taient celles de deux fabricants. Nous pouvons en d\u00e9duire que les cybercriminels ont certainement trouv\u00e9 des vuln\u00e9rabilit\u00e9s dans ces cartes-m\u00e8res, ce qui a rendu possible l\u2019infection de l\u2019UEFI.<\/p>\n

Nous ne savons pas exactement comment les cybercriminels ont r\u00e9ussi \u00e0 introduire le programme malveillant. \u00c9tant donn\u00e9 que les victimes de CosmicStrand \u00e9taient des utilisateurs quelconques, il se pourrait que les cybercriminels \u00e0 l\u2019origine de ce rootkit savent comment infecter un UEFI \u00e0 distance. Il y a toutefois d\u2019autres explications plausibles. Par exemple, les experts de Qihoo 360, qui ont \u00e9tudi\u00e9 les versions pr\u00e9c\u00e9dentes de CosmicStrand en 2016, ont expliqu\u00e9<\/a> qu\u2019une des victimes a peut-\u00eatre achet\u00e9 une carte-m\u00e8re modifi\u00e9e \u00e0 un revendeur. Dans ce cas, nos experts n\u2019ont pas pu confirmer quelle m\u00e9thode d\u2019infection a \u00e9t\u00e9 utilis\u00e9e.<\/p>\n

Les capacit\u00e9s de CosmicStrand<\/h2>\n

L\u2019objectif principal de CosmicStrand est de t\u00e9l\u00e9charger un programme malveillant au d\u00e9marrage du syst\u00e8me d\u2019exploitation, qui r\u00e9alise ensuite les t\u00e2ches d\u00e9finies par les cybercriminels. Apr\u00e8s avoir pass\u00e9 toutes les \u00e9tapes du processus de d\u00e9marrage du syst\u00e8me d\u2019exploitation, le rootkit peut ex\u00e9cuter un shellcode et contacter le serveur de commande et contr\u00f4le<\/a> des cybercriminels, qui lui envoie alors une charge malveillante.<\/p>\n

\"Cha\u00eene

Cha\u00eene d\u2019infection du rootkit CosmicStrand<\/p><\/div>\n

Nos chercheurs n\u2019ont pas pu intercepter le fichier que le serveur C&C envoie au rootkit. En revanche, ils ont trouv\u00e9 dans les dispositifs infect\u00e9s une partie du programme malveillant probablement li\u00e9e \u00e0 CosmicStrand. Ce programme malveillant cr\u00e9e l\u2019utilisateur \u00a0\u00bb\u00a0aaaabbbb\u00a0\u00a0\u00bb dans le syst\u00e8me d\u2019exploitation et lui donne des droits d\u2019administrateur local. Vous pouvez lire l\u2019article r\u00e9dig\u00e9 par nos chercheurs et publi\u00e9 sur Securelist<\/a> pour conna\u00eetre tous les d\u00e9tails techniques de CosmicStrand.<\/p>\n

Les rootkits sont-ils une menace ?<\/h2>\n

Depuis 2016, CosmicStrand s\u2019est av\u00e9r\u00e9 tr\u00e8s utile puisqu\u2019il n\u2019a pas, ou peu, attir\u00e9 l\u2019attention des chercheurs en s\u00e9curit\u00e9 des informations. C\u2019est inqui\u00e9tant, sans aucun doute, mais ce n\u2019est pas si grave. Tout d\u2019abord, il s\u2019agit d\u2019un programme malveillant sophistiqu\u00e9 et co\u00fbteux utilis\u00e9 pour des attaques cibl\u00e9es, et non massives ; m\u00eame s\u2019il semblerait que des gens au hasard soient parfois affect\u00e9s. Ensuite, certains produits de s\u00e9curit\u00e9 peuvent d\u00e9tecter ce genre de programme malveillant. Par exemple, nos solutions de s\u00e9curit\u00e9<\/a> prot\u00e8gent les utilisateurs contre les rootkits.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nos experts ont d\u00e9couvert une nouvelle version de CosmicStrand. Un rootkit qui se cache dans le micrologiciel de l\u2019UEFI.<\/p>\n","protected":false},"author":2477,"featured_media":19235,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[4299,750,204,278,4013],"class_list":{"0":"post-19233","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-cosmicstrand","9":"tag-great","10":"tag-menaces","11":"tag-rootkit","12":"tag-uefi"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cosmicstrand-uefi-rootkit\/19233\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cosmicstrand-uefi-rootkit\/24412\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/19878\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/10046\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/26807\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cosmicstrand-uefi-rootkit\/24713\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/25108\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cosmicstrand-uefi-rootkit\/27453\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cosmicstrand-uefi-rootkit\/27118\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cosmicstrand-uefi-rootkit\/33702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cosmicstrand-uefi-rootkit\/10893\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/45017\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cosmicstrand-uefi-rootkit\/19787\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cosmicstrand-uefi-rootkit\/29085\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cosmicstrand-uefi-rootkit\/25300\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cosmicstrand-uefi-rootkit\/30778\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cosmicstrand-uefi-rootkit\/30524\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/rootkit\/","name":"rootkit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19233","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19233"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19233\/revisions"}],"predecessor-version":[{"id":19236,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19233\/revisions\/19236"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19235"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19233"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19233"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19233"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}