Les analystes de la sécurité ont découvert et lié MoonBounce, « le plus avancé » Implant de micrologiciel UEFI trouvé dans la nature jusqu’à présent, au groupe de hackers chinois APT41 (également connu sous le nom de Winnti).
APT41 est un groupe de piratage notoire qui est actif depuis au moins une décennie et est principalement connu pour ses opérations de cyberespionnage furtives contre des organisations de premier plan de divers secteurs industriels.
La découverte de MoonBounce est le travail des chercheurs de Kaspersky, qui ont publié un rapport technique détaillé sur leurs découvertes.
Un implant UEFI sophistiqué
UEFI (Unified Extensible Firmware Interface) est une spécification technique qui permet d’interfacer le système d’exploitation (OS) et le micrologiciel dans les systèmes informatiques.
Pouvoir implanter un code malveillant appelé « UEFI bootkit » dans le micrologiciel est un excellent moyen de rester caché des AV et de tout outil de sécurité fonctionnant au niveau du système d’exploitation.
Cela a été fait plusieurs fois auparavant, avec deux exemples récents étant le malware FinFisher et la porte dérobée ESPecter.
Généralement, ces outils détournent la séquence de démarrage et s’initialisent avant les composants de sécurité du système d’exploitation. Ils sont très persistants car ils se nichent dans des zones qui ne peuvent pas être effacées, comme un espace réservé sur le disque.
Dans le cas de MoonBounce, l’emplacement d’implantation se trouve sur la mémoire flash SPI de la carte mère, donc même un remplacement de disque dur ne peut pas le déraciner.
Le composant de micrologiciel lacé est CORE_DXE, qui est appelé au cours de la première phase de la séquence de démarrage UEFI.
Source : Kaspersky
« La source de l’infection commence par un ensemble de crochets qui interceptent l’exécution de plusieurs fonctions dans la table des services de démarrage EFI, à savoir AllocatePool, CreateEventEx et ExitBootServices », explique Kaspersky dans le rapport.
« Ces crochets sont utilisés pour détourner le flux de ces fonctions vers un shellcode malveillant qui est ajouté par les attaquants à l’image CORE_DXE, qui à son tour configure des crochets supplémentaires dans les composants suivants de la chaîne de démarrage, à savoir le chargeur Windows. »
« Cette chaîne de hooks à plusieurs étapes facilite la propagation du code malveillant de l’image CORE_DXE vers d’autres composants de démarrage lors du démarrage du système, permettant l’introduction d’un pilote malveillant dans l’espace d’adressage mémoire du noyau Windows. »
Ce pilote s’exécute lors de l’initialisation du noyau du système d’exploitation et injecte le logiciel malveillant dans un processus svchost.exe. Le logiciel malveillant s’est entièrement initialisé dès que l’ordinateur est opérationnel.
Ensuite, il communique avec une adresse URL C2 codée en dur et tente de récupérer la charge utile de l’étape suivante, qui s’exécutera en mémoire.
Kaspersky n’a pas pu récupérer cette charge utile pour l’analyser ou déterminer comment exactement les acteurs ont infecté le micrologiciel UEFI en premier lieu.
Cibles et objectifs de la campagne
Les données de télémétrie révèlent que ces attaques étaient très ciblées, et Kaspersky n’a détecté le rootkit du firmware que dans un seul cas.
Source : Kaspersky
Cependant, Kaspersky a trouvé plusieurs échantillons de logiciels malveillants et chargeurs sur d’autres machines du même réseau, mais il s’agissait d’implants non UEFI.
Les exemples incluent la porte dérobée Microcin, le voleur d’informations d’identification Mimikat, l’implant Go, le chargeur StealthMutant et le malware ScrambleCross.
Source : Kaspersky
Quant à savoir qui était visé, la firme de sécurité mentionne une organisation contrôlant plusieurs entreprises s’occupant de technologie de transport.
L’objectif principal des adversaires était de s’implanter durablement dans le réseau et de mener un cyberespionnage en exfiltrant des données précieuses vers le serveur C2.
Dans ce contexte, les opérateurs APT41 ont effectué une reconnaissance analytique du réseau et se sont déplacés latéralement lorsque cela était possible tout en effaçant les traces de leur activité malveillante.
APT41 toujours aussi fort
Kaspersky a trouvé de nombreuses preuves reliant MoonBounce à APT41, allant du déploiement du logiciel malveillant ScrambleCross lui-même à des certificats uniques récupérés à partir de ses serveurs C2 qui correspondent rapports précédents du FBI sur l’activité APT41.
Alors que le ministère américain de la Justice a identifié et inculpé cinq membres de l’APT41 en septembre 2020, l’existence de MoonBounce et l’opération qui l’entoure prouve que les acteurs de la menace n’ont pas été découragés par la pression judiciaire.
APT41 reste un acteur de menace sophistiqué qui peut développer des outils d’évasion qui contournent même les réseaux d’entreprise les plus impénétrables.
Les menaces UEFI devenant de plus en plus populaires, Kaspersky conseille de prendre les mesures suivantes pour se défendre contre les attaquants utilisant MoonBounce ou des logiciels malveillants similaires :
- Activer le démarrage sécurisé par défaut
- Mettez régulièrement à jour le micrologiciel
- Vérifiez que BootGuard est activé
- Activer les modules de plate-forme de confiance