ActualitésTechno

ESET Research découvre ESPecter, un bootkit UEFI de cyberespionnage

Les chercheurs d’ESET, éditeur Européen de solutions de sécurité, ont découvert un bootkit UEFI actif et inconnu jusqu’à présent qui persiste sur la partition système EFI (ESP). ESET a baptisé ce bootkit ESPecter, contourne la fonction Windows Driver Signature Enforcement pour charger son propre pilote non signé, afin de mener des activités d’espionnage. ESPecter est la seconde découverte d’un bootkit UEFI persistant sur l’ESP, ce qui montre que les menaces UEFI ne se limitent plus à des implants flash SPI, comme ceux découverts par ESET en 2018, utilisés par Lojax.

ESPecter a été découvert sur une machine compromise, il est doté de fonctionnalités d’enregistrement des frappes au clavier et de vol de documents. C’est pourquoi ESET Research estime qu’ESPecter est principalement utilisé pour l’espionnage. Nous avons pu retracer l’origine de cette menace à au moins 2012. Elle s’attaquait alors à des systèmes dotés d’anciens BIOS. Malgré la longue existence d’ESPecter, ses activités et sa mise à niveau vers UEFI sont passées inaperçues et n’ont pas été documentées jusqu’à présent, » déclare Anton Cherepanov, researcher chez ESET, qui a découvert et analysé la menace avec Martin Smolár, researcher chez ESET.

« Ces dernières années, nous avons vu des preuves de concept de bootkits UEFI, des documents ont fuités ainsi que du code source suggérant l’existence de véritables malwares UEFI sous forme d’implants flash SPI ou d’implants ESP. Malgré cela, seuls quatre cas réels de malwares UEFI ont été découverts, dont ESPecter, » explique M. Cherepanov.

En examinant la télémétrie d’ESET, ESET Research a pu retracer les débuts de ce bootkit à au moins 2012. Ce qui est intéressant, c’est que les composants du malware ont à peine changé au cours de toutes ces années, et que les différences entre les versions de 2012 et de 2020 ne sont pas aussi importantes qu’on pourrait le penser.

Le second composant déployé par ESPecter est une porte dérobée qui permet d’exécuter un ensemble étendu de commandes et contient différentes fonctionnalités d’exfiltration automatique de données, notamment de vol de documents, d’enregistrement des frappes au clavier et de surveillance de l’écran de la victime par des captures d’écran périodiques. Toutes les données collectées sont stockées dans un répertoire caché.

« ESPecter montre que ses auteurs s’appuient sur des implants de micrologiciel UEFI pour assurer leur persistance avant le chargement du système d’exploitation et ceci malgré les mécanismes de sécurité existants, notamment UEFI Secure Boot. Ces malwares seraient facilement bloqués par ces mécanismes s’ils étaient activés et configurés correctement, » ajoute M. Smolár.

Pour se protéger d’ESPecter ou de menaces similaires, ESET conseille aux utilisateurs de suivre ces règles simples : toujours utiliser la dernière version du firmware, s’assurer que le système est correctement configuré et que Secure Boot est activé, et configurer Privileged Account Management pour empêcher les adversaires d’accéder aux comptes privilégiés nécessaires à l’installation du bootkit.

perelafouine

Consultant depuis plus de 30 ans, Je suis depuis une dizaine d'années journaliste, professionnel dans le domaine des risques et des assurances pour le e-mag RiskAssur-hebdo (https://www.riskassur-hebdo.com) et témoin de mon époque pour https://notre-siecle.com et https://perelafouine.com RiskAssur, Notre-Siècle et PèreLaFouine proposent chaque jour de nouveaux articles issus de la rédaction : la vie des sociétés (nominations, acquisitions, accords, …), des tests/présentations de produits, des ouvrages (professionnels, romans, bd, …), … Je peux : - présenter vos produits ou nouveaux ouvrages (il suffit de me les envoyer) - écrire sur des sujets à la demande pour du référencement SEO - publier vos communiqués de presse - Publier vos AAPC - … Une question, une remarque : olivier@franol.fr

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page
%d blogueurs aiment cette page :