ESET découvre la première attaque par rootkit UEFI

Rootkits UEFI : de la théorie à la menace

UEFI rootkits image

Les rootkits UEFI, le Saint Graal des hackers, étaient craints depuis longtemps mais n'avaient jamais été vus à l'oeuvre, jusqu'à ce qu'ESET découvre la campagne menée par le tristement célèbre groupe Sednit APT. Certains rootkits UEFI ont été présentés lors de conférences de sécurité ou de démonstrations et certains sont connus pour être utilisés par des agences gouvernementales. Cependant, jusqu'en août 2018, aucun rootkit UEFI n'avait été détecté lors d'une vraie cyber attaque.

La campagne menée par Sednit utilisait un rootkit UEFI que les chercheurs d'ESET ont nommé LoJax. L'analyse d'ESET est décrite en détail dans le livre blanc “LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group”. Plus d'informations relatives à la sécurité UEFI sont disponibles sur le blog d'ESET, WeLiveSecurity.

Les risques de sécurité du firmware, de l'UEFI et des rootkits

Le code qui se lance juste après l'allumage de l'ordinateur et qui a le pouvoir sur le système d'exploitation (et par extension sur toute la machine) est appelé le firmware. Le standard de fonctionnement du firmware est appelé UEFI (son précédesseur était appelé le BIOS). Firmware et UEFI sont souvent liés et appelés ensemble firmware UEFI.

Un rootkit est un malware dangereux conçu pour accéder de manière illégale et persistante à un environnement. Généralement, un rootkit masque également sa présence ou la présence d'autres malwares.

En savoir plus

Un rootkit UEFI est un rootkit qui se cache dans le firmware. Il y a 2 raisons qui rendent ces rootkits extrêmement dangereux. Premièrement, les rootkits UEFI sont très tenaces et capables de survivre à un redémarrage, une réinstallation du système d'exploitation et même à un remplacement du disque dur. Deuxièmement, ils sont difficile à détecter car le firmware n'est habituellement pas analysé pour préserver l'intégrité de son code. Les solutions de sécurité ESET contiennent une couche de protection dédiée à cela, appelée ESET UEFI Scanner, et sont une exception sur le marché.

Firmware, UEFI, rootkits image

Les firmwares UEFI malveillants sont un cauchemar pour quiconque intéressé par la sécurité IT. Ils causent de lourds dommages et sont difficiles à détecter.

Jean-Ian Boutin, Senior Malware Researcher chez ESET

Comment ESET vous protègre des firmwares UEFI malveillans ?

ESET est le seul fournisseur majeur de solutions de sécurité fournissant une couche de sécurité dédiée : ESET UEFI Scanner, qui est conçue pour détecter les composants malveillants dans le firmware.

ESET UEFI Scanner est un outil qui rend le firmware accessible à l'analyse. Ainsi, le code du firmware est scanné par les technologies de détection de malwares. Les utilisateurs d'ESET peuvent analyser le firmware de leur ordinateur de manière régulière ou à la demande. La majorité des détections sont définies comme des applications potentiellement dangereuses car ayant l'ascendant sur le système et pouvent être utilisées à mauvais escient. Le même code peut être complètement légitime si l'utilisateur ou l'administrateur est au courant de sa présence, mais il peut être malveillant s'il a été installé sans consentement.

En savoir plus

Naturellement, depuis la découverte de la première cyber attaque utilisant un rootkit UEFI, les clients ESET équipés avec ESET UEFI Scanner peuvent également détecter ce genre de modifications et sont ainsi en position de se protéger.

Pour ce qui est de la remediation, cela dépasse l'utilisateur basique. En principe, le re-flashing de la puce avec un firmware propre devrait résoudre le problème. Si cela n'est pas possible, alors la seule option est de remplacer la carte mère de l'ordinateur.

Foire aux questions

ESET est le seul éditeur à protéger contre les attaques par rootkit UEFI : vrai ou faux ?

Est-il vrai qu'ESET est le seul éditeur de solutions de sécurité qui assure l'analyse du firmware UEFI ? Si c'est le cas, pour quelle raison les concurrents d'ESET n'ont pas mis en place une telle technologie ?

ESET est seul éditeur de solutions de sécurité du Top 20 à fournir à ses utilisateurs une technologie d'analyse UEFI dans ses produits. Bien que d'autres éditeurs aient des technologies présentées avec la terminologie "UEFI", leur fonctionnement diffère d'une réelle analyse du firmware.

La raison pour laquelle ESET est le seul éditeur à proposer une vraie technologie d’analyse du firmware UEFI vient du fait qu’ESET prend la sécurité au sérieux et se sent responsable de la sécurité de ses utilisateurs. Oui, les attaques du firmware UEFI sont sporadiques, et jusqu’à maintenant, cela n’a mené qu’à des dégradations de matériel. Cependant, de telles attaques peuvent mener à une prise de contrôle totale et persistante de l’infrastructure. Donc ESET a fait le choix d’investir des ressources pour assurer la protection face à de telles attaques.

La découverte récente de LoJax, le premier rootkit UEFI jamais détecté dans une attaque réelle montre que, malheureusement, les attaques par rootkits UEFI sont en passe de devenir récurrents lors des cyber attaques avancées.

Heureusement, grâce à ESET UEFI Scanner, nos clients sont protégés contre ce type d'attaque et peuvent s'en protéger.

Pourquoi l'analyse du firmware est si importante ?

En clair, analyser le firmware est le seul moyen d’y déceler des modifications. Du point de vue de la sécurité, un firmware corrompu est extrêmement dangereux car il est difficile à détecter et à réparer. Même en cas de remplacement du disque dur.

Le firmware peut être corrompu lors de la fabrication d’un ordinateur, de sa livraison, ou via son flashing si un attaquant accède physiquement à l’appareil. ESET a montré récemment que le firmware pouvait également être corrumpu lors d’attaques avancées de malwares.

Comment fonctionne l'outil ESET UEFI Scanner ?

Habituellement, le firmware n’est pas accessible aux solutions de sécurité ; ces produits sont donc conçus uniquement pour analyser les disques et la mémoire. Pour accéder au firmware, un outil particulier est nécessaire.

Le “Scanner UEFI” est un module présent dans les solutions de sécurité ESET dont la seule fonction est de lire le contenu du firmware UEFI et de le rendre accessible à l'analyse. Ainsi, ESET UEFI Scanner donne la possibilité au moteur d'analyse d'ESET d'évaluer et de renforcer la sécurité de l'environnement pre-boot.

En somme, les produits ESET, avec leur capacités d'analyse UEFI, sont conçus pour détecter les composants suspects ou malveillants directement dans le firmware et d'en alerter l'utilisateur.

Comment réparer votre firmware UEFI ?

Dès qu'un composant suspect ou malveillant est détecté dans le firmware, l'utilisateur est notifié et peut prendre les mesures nécessaires.

Dans certains cas, il n'y a rien de mauvais avec la détection, le composant suspect peut par exemple appartenir à une solution antivol conçue pour persister dans le système.

Dans d'autres cas cependant, il n'y a pas de raison légitime à la présence du composant détecté dans le firmware. Dans ce cas, des actions de correction et de remédiation doivent être prises.

Malheureusement, il n'y a pas de méthode simple pour nettoyer le système d'une telle menace. Habituellement, le firmware a besoin d'être mis à jour (flashé) pour retirer les composants malveillants. Si le reflashing de l'UEFI n'est pas une option, la seule alternative est le remplacement de la carte mère.

Comment les chercheurs d'ESET ont-ils découvert la campagne utilisant le rootkit UEFI ?

La déouverte d'ESET est entièrement détaillée dans un article et dans un livre blanc publiés sur le blog d'ESET, WeLiveSecurity.

En résumé, les chercheurs d'ESET, menés par Jean-Ian Boutin, Senior Researcher chez ESET, ont fait un travail excepetionnel, en combinant leur connaissances approfondies du groupe Sednit APT, les données issues de la télémétrie des systèmes de détection d'ESET et une précédentes découverte par leurs confrères chez Arbor Network. Ils ont donc découvert un nouvel ensemble d'outils de cyber attaque, dont le premier rootkit UEFI découvert "in-the-wild".

Qu'est-ce que le groupe Sednit APT ?

Sednit, qui opère depuis 2004 et qui est également connu sous les noms APT28, STRONTIUM, Sofacy et Fancy Bear, est un des groupes APT (Advanced Persistent Threat) les plus actifs. De tels groupes sont connus pour leur activité de cyber espionnage et leurs cyber attaques sur des cibles de grandes notoriété.

L'attaque sur le Comité National Démocrate qui a affecté les élections américaines de 2016, le piratage de la chaine de télévision mondiale TV5Monde, la fuite de mails de l'Agence Mondiale anti-dopage, et d'autres attaques sont l'oeuvre présupposée de Sednit.

Ce groupe possède un ensemble d'outils utilisés pour mener les cyber attaques, dont les chercheurs d'ESET ont déjà compilé des informations dans leur précédent livre blanc ainsi que dans de nombreux articles du blog WeLiveSecurity. La découverte du rootkit UEFI LoJax montre que le groupe Sednit APT est encore plus dangereux et développé que ce qui était admis, selon Jean-Ian Boutin, Senior Malware Researcher chez ESET qui a mené les recherches récentes sur la campagne de Sednit.

ESET n'attribue pas de cause géopolitique à ces attaques. Tirer de telles conclusions sur des recherches scientifiques est une tâche délicate qui va au-delà des attributions des chercheurs en sécurité d'ESET. Ce que les chercheurs d'ESET appellent “le groupe Sednit” n'est rien d'autre qu'un ensemble de softwares et l'infrastructure réseau depuis laquelle sont lancées les attaques, sans aucun lien avec une organisation quelle qu'elle soit.

Gardez un coup d'avance avec ESET

We Live Security blog icon

Blog WeLiveSecurity

Le blog WeLiveSecurity d'ESET est à la pointe de l'information sur ce sujet et sur d'autres découvertes

ESET Technology icon

La technologie ESET

La protection multicouche combinée au machine learning, à l'experise humaine et aux renseignements mondiaux