Le kit de démarrage du firmware MoonBounce montre des avancées dans les implants malveillants

Un nouveau kit de démarrage de firmware découvert dans la nature montre des améliorations spectaculaires par rapport aux outils précédents, selon les chercheurs de Kaspersky qui l’ont découvert. Surnommé MoonBounce, cet implant malveillant se cache dans le micrologiciel UEFI (Unified Extensible Firmware Interface) d’un ordinateur dans le flash SPI du système – un composant de stockage externe au disque dur, ce qui le rend difficile à retirer et difficile à repérer pour les produits de sécurité propriétaires.

MoonBounce est le troisième bootkit découvert dans la nature – les autres sont LoJax et MosaicRegressor – et comparé à ceux-ci, il démontre « des progrès significatifs, avec un flux d’attaque plus compliqué et une plus grande sophistication technique ». Kaspersky l’a repéré pour la première fois en 2021 grâce à son scanner de firmware, conçu pour détecter les menaces cachées dans le BIOS de la ROM, y compris les images du microprogramme UEFI.

« Ce dernier bootkit UEFI montre des avancées notables par rapport à MosaicRegressor, dont nous avons parlé en 2020 », a déclaré Mark Lechtik, chercheur principal au sein de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky. « En fait, la transformation d’un composant de base auparavant bénin du micrologiciel en un composant capable de faciliter le déploiement de logiciels malveillants sur le système est une innovation qui n’a pas été observée dans les précédents bootkits de micrologiciel comparables dans la nature et rend la menace beaucoup plus furtive.

« Nous avions prédit en 2018 que les menaces UEFI gagneraient en popularité, et cette tendance semble se matérialiser. Nous ne serions pas surpris de trouver des bootkits supplémentaires en 2022. Heureusement, les fournisseurs ont commencé à accorder plus d’attention aux attaques de microprogrammes, et de plus en plus de technologies de sécurité des microprogrammes, telles que BootGuard et Trusted Platform Modules, sont progressivement adoptées.

L’équipe de recherche de Kaspersky affirme pouvoir attribuer l’utilisation de MoonBounce dans les cyberattaques avec une « confiance considérable » au groupe APT41 advanced persistent threat (APT) – une opération soutenue par la Chine qui porte également le nom de Barium, Winnti, Wicked Panda ou Wicked Spider, selon le service d’information sur les menaces auquel vous êtes abonné.

Le microprogramme UEFI est important car il s’agit d’un composant essentiel dans la grande majorité des ordinateurs, où il sert à démarrer le périphérique et à passer le contrôle au logiciel qui charge le système d’exploitation (OS). Le code qui effectue cela repose dans le flash SPI.

Si un acteur malveillant peut modifier avec succès ce firmware pour inclure du code malveillant, il peut potentiellement marquer gros, car le code sera lancé avant le système d’exploitation et peut donc implanter un logiciel malveillant très difficile à supprimer – il ne peut pas être supprimé par l’acte relativement simple de reformater le disque dur ou de réinstaller le système d’exploitation, par exemple.

En plus de cela, parce que le code malveillant ne repose pas sur le disque dur, l’activité d’un bootkit malveillant est pratiquement indétectable à moins que l’équipe informatique n’ait acheté un service de sécurité qui analyse spécifiquement cette partie du système – comme mentionné précédemment, Kaspersky dispose d’un tel outil, mais beaucoup d’autres ne le font pas.

Dans le cas de MoonBounce, l’implant malveillant repose dans le composant CORE_DXE du firmware qui prend vie très tôt dans le processus de démarrage UEFI. En interceptant diverses fonctions au cours de ce processus, les composants de MoonBounce se frayent un chemin dans le système d’exploitation de l’appareil, d’où ils peuvent contacter leur infrastructure de commande et de contrôle (C2) afin de récupérer des charges utiles malveillantes. De là, c’est un saut rapide, sautez et sautez à une cyberattaque à part entière.

Les analystes de Kaspersky ont déclaré que dans l’incident spécifique qu’ils ont traité, ils ont trouvé plusieurs chargeurs malveillants et logiciels malveillants de post-exploitation sur plusieurs nœuds du réseau, y compris ScrambeCross, alias Sidewalk, un implant en mémoire utilisé pour parler à un serveur C2, et Mimikat_ssp, un outil post-exploit utilisé pour vider les informations d’identification, une porte dérobée basée sur Golang auparavant inconnue et le malware Microcin.

Ils ont déclaré qu’il était clair que l’opérateur de MoonBounce avait effectué un large éventail d’actions, en archivant des fichiers et en effectuant une reconnaissance du réseau – très probablement, ils essayaient d’atteindre la capacité de se déplacer latéralement à travers le réseau de leur cible et, compte tenu du modus operandi d’APT41, étaient probablement intéressés par l’espionnage d’entreprise.

Ils n’ont cependant pas été en mesure d’établir le vecteur d’infection exact utilisé par MoonBounce, mais il peut être prudent de supposer que les protocoles d’accès à distance ont été exploités.

Les RSSI peuvent prendre un certain nombre de mesures spécifiques pour se prémunir contre MoonBounce, à partir d’actions standard telles que la fourniture à leurs équipes d’informations à jour sur les menaces, d’outils de détection et de réponse aux points de terminaison (EDR) et de produits de protection des terminaux capables de détecter spécifiquement l’utilisation du micrologiciel.

En ce qui concerne la protection de l’UEFI elle-même, l’entreprise recommande aux défenseurs de mettre régulièrement à jour leur UEFI firmware, en utilisant uniquement le firmware de fournisseurs de confiance et, le cas échéant, activer le démarrage sécurisé par défaut.