Le premier malware exploitant l'UEFI découvert (et il est russe)

Par
Le 03 octobre 2018
 0
malware

Les ingénieurs d'un concepteur d'antivirus ont fait la découverte d'un programme malveillant, se logeant à la racine du démarrage du système d'exploitation.

Les chercheurs d'ESET, un concepteur d'antivirus ont publié un article détaillant la découverte d'un malware d'un nouveau genre, prenant pour cible l'UEFI.

Le virus, appelé "Lojax", était caché dans un programme commercial, créait une porte dérobée dans le système d'exploitation et pouvait résister et survivre à une attaque antivirus, ou encore à une réinstallation complète du système.

Les ingénieurs d'ESET indiquent également sur le site welivesecurity que le malware a été créé et diffusé par un groupe de hackers russes, déjà à l'origine d'un piratage des conversations et documents du Parti Démocrate lors de la campagne présidentielle d'Hillary Clinton en 2016.

L'UEFI, un sytème faillible depuis de nombreuses années

Ce n'est pas la première fois que l'UEFI est pointé du doigt par de nombreux experts en sécurité. L'UEFI est un petit système d'exploitation qui fonctionne indépendamment de celui de l'ordinateur, qui est une porte ouverte pour quiconque souhaite y créer des portes dérobées ou des logiciels malveillants.

Des documents confidentiels de la CIA, dévoilés par Wikileaks, montraient que l'agence de renseignements américaine avait développé un virus à destination des Macintosh d'Apple, utilisant l'UEFI pour prendre le contrôle de la machine. Il fallait toutefois accéder physiquement à la machine pour installer le malware, à la différence de "Lojax" qui peut à distance lire et écrire sur la mémoire de l'UEFI.

Les chercheurs Dick Wilkins et Jim Mortensen, travaillant chez Phoenix technologies, une société spécialisée dans la conception de BIOS, expliquaient récemment que "les firmwares sont des logiciels et ils sont tout aussi vulnérables aux mêmes menaces que ces derniers".

Un malware en gestation depuis 2014

Les recherches d'ESET démontrent que le malware "Lojax" est un projet datant de plus de 4 ans. Les premières traces d'un tel système de contrôle ont été découvertes sur des tentatives de piratages de machines situées dans les Balkans, comme en Europe centrale.

Malgré les tentatives répétées d'accéder à la mémoire de l'UEFI, les systèmes de protection étaient désactivés par défaut sur les nombreuses implémentations réalisées par les constructeurs d'ordinateurs.

Modifié le 03/10/2018 à 18h58
scroll top