Le premier malware exploitant l'UEFI découvert (et il est russe)

03 octobre 2018 à 18h58
9
Malware

Les ingénieurs d'un concepteur d'antivirus ont fait la découverte d'un programme malveillant, se logeant à la racine du démarrage du système d'exploitation.

Les chercheurs d'ESET, un concepteur d'antivirus ont publié un article détaillant la découverte d'un malware d'un nouveau genre, prenant pour cible l'UEFI.

Le virus, appelé "Lojax", était caché dans un programme commercial, créait une porte dérobée dans le système d'exploitation et pouvait résister et survivre à une attaque antivirus, ou encore à une réinstallation complète du système.

Les ingénieurs d'ESET indiquent également sur le site welivesecurity que le malware a été créé et diffusé par un groupe de hackers russes, déjà à l'origine d'un piratage des conversations et documents du Parti Démocrate lors de la campagne présidentielle d'Hillary Clinton en 2016.

L'UEFI, un sytème faillible depuis de nombreuses années

Ce n'est pas la première fois que l'UEFI est pointé du doigt par de nombreux experts en sécurité. L'UEFI est un petit système d'exploitation qui fonctionne indépendamment de celui de l'ordinateur, qui est une porte ouverte pour quiconque souhaite y créer des portes dérobées ou des logiciels malveillants.

Des documents confidentiels de la CIA, dévoilés par Wikileaks, montraient que l'agence de renseignements américaine avait développé un virus à destination des Macintosh d'Apple, utilisant l'UEFI pour prendre le contrôle de la machine. Il fallait toutefois accéder physiquement à la machine pour installer le malware, à la différence de "Lojax" qui peut à distance lire et écrire sur la mémoire de l'UEFI.

Les chercheurs Dick Wilkins et Jim Mortensen, travaillant chez Phoenix technologies, une société spécialisée dans la conception de BIOS, expliquaient récemment que "les firmwares sont des logiciels et ils sont tout aussi vulnérables aux mêmes menaces que ces derniers".

Un malware en gestation depuis 2014

Les recherches d'ESET démontrent que le malware "Lojax" est un projet datant de plus de 4 ans. Les premières traces d'un tel système de contrôle ont été découvertes sur des tentatives de piratages de machines situées dans les Balkans, comme en Europe centrale.

Malgré les tentatives répétées d'accéder à la mémoire de l'UEFI, les systèmes de protection étaient désactivés par défaut sur les nombreuses implémentations réalisées par les constructeurs d'ordinateurs.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
0
Felaz
La source a été ajoutée
Al_Jardine
@M. Grumiaux … Que voulez-vous suggérer par ce « (et il est russe) » dans le titre de l’article…?<br /> Comme le montre ce camembert (source: BusinessWeek/Symantec), la cybercriminalité est en effet un phénomène plutôt rare en Russie…<br /> cybercrime-top-20-countries-pie-chart.jpg644×524 168 KB<br /> Pour les lecteurs qui se méfient un peu de l’information relayée (virale-ment ?) par une certaine presse, voici le lien vers l’étude dont il est extrait :<br /> Remove Spyware &amp; Malware with SpyHunter - EnigmaSoft Ltd – 9 Jul 09<br /> Top 20 Countries Found to Have the Most Cybercrime - Remove Spyware &amp;...<br /> Have you ever wondered which countries face the most cybercrime? If you have ever wondered which countries have the most cybercrime, then you may be surprised to know that there are few contributing factors that attract cybercriminals to specific...<br /> Tiens… puisque votre métier semble être la traduction en français de ce que vous lisez dans les médias anglophones… vous pourriez peut-être nous concocter un article résumant les conclusions de enigmasoftware.com pour les lecteurs francophones…?
CM35
Pas mal !
moomsman
Bien-sûr que si c’est expliqué dans le PDF: https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf<br /> En gros, le malware arrive à flasher le firmware SPI (la puce BIOS) pour y insérer un malware, et au démarrage recherche une partition FAT32/NTFS pour y insérer son payload qui va télécharger un programme.<br /> Vu que c’est dans le BIOS, ça résiste à un formatage.<br /> La seule solution pour s’en débarrasser c’est de flasher le BIOS, si possible avec un programmateur SPI (3€ sur eBay) pour être certain de s’en être débarrassé.<br /> Plus d’infos sur le flash SPI ici: https://forum.hardware.fr/hfr/Hardware/carte-mere/management-desactiver-backdoor-sujet_1024572_1.htm
moomsman
Plus d’infos sur le flash SPI ici: https://forum.hardware.fr/hfr/Hardware/carte-mere/management-desactiver-backdoor-sujet_1024572_1.htm
Voir tous les messages sur le forum

Actualités du moment

Le PDG d'Audi limogé en raison de son rôle présumé dans le Dieselgate
Le navigateur Opera Touch désormais disponible pour iOS
⚡ Bon plan : Windows 10 Pro à 4 euros
Tencent utilise la reconnaissance faciale pour repérer les joueurs trop jeunes
Windows 10 October Update : quoi de neuf ?
La Freebox Revolution + TV by CANAL à 9€99 par mois
Keynote Apple : produits, systèmes et services, à quoi s'attendre ?
Tesla Model S : nous avons pris en main la voiture électrique de Tesla
Conso : combien coûte le rechargement de votre smartphone chaque année ?
Chargeurs universels : 10 ans après, Bruxelles s'énerve de ne rien voir venir
Haut de page