Des chercheurs de la société de cybersécurité Kaspersky ont découvert une campagne d'espionnage de menace persistante avancée (APT) qui utilise une forme rare de malware extrêmement difficile à détecter et à supprimer. Le logiciel malveillant, connu sous le nom de kit de démarrage du micrologiciel, affecte l'interface UEFI (Unified Extensive Firmware Interface) d'un ordinateur, qui commence à s'exécuter avant le système d'exploitation et les autres programmes. Cela signifie que les solutions de sécurité installées ne seront pas opérationnelles à temps pour le détecter.
Une menace rare
Bien que cette forme particulière de malware soit inhabituelle, l'analyse de Kaspersky a révélé qu'elle n'est pas entièrement unique. Les composants du kit de démarrage UEFI utilisés pour insérer du code malveillant dans l'appareil d'un utilisateur étaient largement basés sur le kit de démarrage Vector-EDK, qui a été créé à l'origine par l'équipe de piratage et a été divulgué en ligne en 2015. Ce code a probablement été utilisé plus tard comme base pour la nouvelle découverte. malware, que Kaspersky a nommé "MosaicRegressor". "Alors que les attaques UEFI présentent de vastes opportunités pour les acteurs de la menace, MosaicRegressor est le premier cas publiquement connu où un acteur de la menace a utilisé un micrologiciel UEFI personnalisé malveillant dans la nature", a déclaré Mark Lechtik, chercheur principal en sécurité pour le département mondial de recherche et d'analyse de l'équipe Kaspersky. expliqué. "Les attaques précédemment connues vues dans la nature réutilisaient simplement des logiciels légitimes (par exemple LoJax), ce qui en fait la première attaque sauvage à utiliser un kit de démarrage UEFI personnalisé." Kaspersky n'a pas été en mesure de déterminer la méthode exacte utilisée par les attaquants pour infecter l'appareil d'un utilisateur, mais a réduit le vecteur d'infection à deux options possibles. La première consiste à accéder physiquement à l'ordinateur de la victime, en utilisant une clé USB amorçable pour installer un Trojan-Downloader. La deuxième méthode, et probablement la plus courante, est une simple livraison de spearphishing qui installe un Trojan-Downloader qui peut ensuite être utilisé pour recueillir des informations à partir de l'appareil infecté. La campagne de logiciels malveillants MosaicRegressor n'a été liée de manière concluante à aucun groupe de cyberattaques connu, mais Kaspersky a pu relier certaines des attaques à des documents de harponnage russes, tandis que toutes les victimes, dont beaucoup étaient des diplomates ou travaillaient pour des ONG, avaient un lien vers le nord. Corée.