Le premier malware exploitant l'UEFI découvert (et il est russe)

03 octobre 2018 à 18h58
9
Malware

Les ingénieurs d'un concepteur d'antivirus ont fait la découverte d'un programme malveillant, se logeant à la racine du démarrage du système d'exploitation.

Les chercheurs d'ESET, un concepteur d'antivirus ont publié un article détaillant la découverte d'un malware d'un nouveau genre, prenant pour cible l'UEFI.

Le virus, appelé "Lojax", était caché dans un programme commercial, créait une porte dérobée dans le système d'exploitation et pouvait résister et survivre à une attaque antivirus, ou encore à une réinstallation complète du système.

Les ingénieurs d'ESET indiquent également sur le site welivesecurity que le malware a été créé et diffusé par un groupe de hackers russes, déjà à l'origine d'un piratage des conversations et documents du Parti Démocrate lors de la campagne présidentielle d'Hillary Clinton en 2016.

L'UEFI, un sytème faillible depuis de nombreuses années

Ce n'est pas la première fois que l'UEFI est pointé du doigt par de nombreux experts en sécurité. L'UEFI est un petit système d'exploitation qui fonctionne indépendamment de celui de l'ordinateur, qui est une porte ouverte pour quiconque souhaite y créer des portes dérobées ou des logiciels malveillants.

Des documents confidentiels de la CIA, dévoilés par Wikileaks, montraient que l'agence de renseignements américaine avait développé un virus à destination des Macintosh d'Apple, utilisant l'UEFI pour prendre le contrôle de la machine. Il fallait toutefois accéder physiquement à la machine pour installer le malware, à la différence de "Lojax" qui peut à distance lire et écrire sur la mémoire de l'UEFI.

Les chercheurs Dick Wilkins et Jim Mortensen, travaillant chez Phoenix technologies, une société spécialisée dans la conception de BIOS, expliquaient récemment que "les firmwares sont des logiciels et ils sont tout aussi vulnérables aux mêmes menaces que ces derniers".

Un malware en gestation depuis 2014

Les recherches d'ESET démontrent que le malware "Lojax" est un projet datant de plus de 4 ans. Les premières traces d'un tel système de contrôle ont été découvertes sur des tentatives de piratages de machines situées dans les Balkans, comme en Europe centrale.

Malgré les tentatives répétées d'accéder à la mémoire de l'UEFI, les systèmes de protection étaient désactivés par défaut sur les nombreuses implémentations réalisées par les constructeurs d'ordinateurs.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
0
PierreKaiL
Ce qui est dommage dans ce genre d’article c’est que ça fait bien flipper tout le monde sans donner aucune explication, port de communication pour l’accès à distance ? protocole ? bref des informations un minimum techniques pour que ce soit utile plutôt que du blabla sans intêret.
PierreKaiL
bis repetita
Felaz
La source a été ajoutée
PierreKaiL
Même la source ne parle en rien de la technique utilisée pour s’infiltrer sur la machine cible.<br /> “Le rootkit UEFI ajouté à l’image du microprogramme n’a qu’un seul rôle: déposer le logiciel malveillant dans l’espace utilisateur sur la partition du système d’exploitation Windows et vérifier qu’il est exécuté au démarrage.”<br /> Ok super mais comment ce rootkit s’infiltre t’il ? là ça serait intérressant et comme par hasard cela n’est jamais indiqué, à croire que personne ne connait l’existence et l’utilisation d’un pare feu…
Al_Jardine
@M. Grumiaux … Que voulez-vous suggérer par ce « (et il est russe) » dans le titre de l’article…?<br /> Comme le montre ce camembert (source: BusinessWeek/Symantec), la cybercriminalité est en effet un phénomène plutôt rare en Russie…<br /> cybercrime-top-20-countries-pie-chart.jpg644×524 168 KB<br /> Pour les lecteurs qui se méfient un peu de l’information relayée (virale-ment ?) par une certaine presse, voici le lien vers l’étude dont il est extrait :<br /> Remove Spyware &amp; Malware with SpyHunter - EnigmaSoft Ltd – 9 Jul 09<br /> Top 20 Countries Found to Have the Most Cybercrime - Remove Spyware &amp;...<br /> Have you ever wondered which countries face the most cybercrime? If you have ever wondered which countries have the most cybercrime, then you may be surprised to know that there are few contributing factors that attract cybercriminals to specific...<br /> Tiens… puisque votre métier semble être la traduction en français de ce que vous lisez dans les médias anglophones… vous pourriez peut-être nous concocter un article résumant les conclusions de enigmasoftware.com pour les lecteurs francophones…?
CM35
Pas mal !
moomsman
Bien-sûr que si c’est expliqué dans le PDF: https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf<br /> En gros, le malware arrive à flasher le firmware SPI (la puce BIOS) pour y insérer un malware, et au démarrage recherche une partition FAT32/NTFS pour y insérer son payload qui va télécharger un programme.<br /> Vu que c’est dans le BIOS, ça résiste à un formatage.<br /> La seule solution pour s’en débarrasser c’est de flasher le BIOS, si possible avec un programmateur SPI (3€ sur eBay) pour être certain de s’en être débarrassé.<br /> Plus d’infos sur le flash SPI ici: https://forum.hardware.fr/hfr/Hardware/carte-mere/management-desactiver-backdoor-sujet_1024572_1.htm
moomsman
Plus d’infos sur le flash SPI ici: https://forum.hardware.fr/hfr/Hardware/carte-mere/management-desactiver-backdoor-sujet_1024572_1.htm
Voir tous les messages sur le forum

Actualités du moment

Le PDG d'Audi limogé en raison de son rôle présumé dans le Dieselgate
Le navigateur Opera Touch désormais disponible pour iOS
Piratage Facebook : les hackers n’auraient pas accédé aux applications tierces
⚡ Bon plan : Windows 10 Pro à 4 euros
Tencent utilise la reconnaissance faciale pour repérer les joueurs trop jeunes
Razer Sila : un nouveau routeur dédié au gaming, commercialisé à 249 dollars
Hyperloop : découvrez à quoi ressemble le vrai 1er pod
La batterie zinc-air rechargeable moins coûteuse que la lithium-ion
Peugeot E-Legend : une voiture électrique et autonome inspirée de l'iconique 504
Haut de page