ESET découvre la première attaque par rootkit UEFI

Est-il vrai qu'ESET est le seul éditeur de solutions de sécurité qui assure l'analyse du firmware UEFI ? Si c'est le cas, pour quelle raison les concurrents d'ESET n'ont pas mis en place une telle technologie ?

ESET est seul éditeur de solutions de sécurité du Top 20 à fournir à ses utilisateurs une technologie d'analyse UEFI dans ses produits. Bien que d'autres éditeurs aient des technologies présentées avec la terminologie "UEFI", leur fonctionnement diffère d'une réelle analyse du firmware.

La raison pour laquelle ESET est le seul éditeur à proposer une vraie technologie d’analyse du firmware UEFI vient du fait qu’ESET prend la sécurité au sérieux et se sent responsable de la sécurité de ses utilisateurs. Oui, les attaques du firmware UEFI sont sporadiques, et jusqu’à maintenant, cela n’a mené qu’à des dégradations de matériel. Cependant, de telles attaques peuvent mener à une prise de contrôle totale et persistante de l’infrastructure. Donc ESET a fait le choix d’investir des ressources pour assurer la protection face à de telles attaques.

La découverte récente de LoJax, le premier rootkit UEFI jamais détecté dans une attaque réelle montre que, malheureusement, les attaques par rootkits UEFI sont en passe de devenir récurrents lors des cyber attaques avancées.

Heureusement, grâce à ESET UEFI Scanner, nos clients sont protégés contre ce type d'attaque et peuvent s'en protéger.

En clair, analyser le firmware est le seul moyen d’y déceler des modifications. Du point de vue de la sécurité, un firmware corrompu est extrêmement dangereux car il est difficile à détecter et à réparer. Même en cas de remplacement du disque dur.

Le firmware peut être corrompu lors de la fabrication d’un ordinateur, de sa livraison, ou via son flashing si un attaquant accède physiquement à l’appareil. ESET a montré récemment que le firmware pouvait également être corrumpu lors d’attaques avancées de malwares.

Habituellement, le firmware n’est pas accessible aux solutions de sécurité ; ces produits sont donc conçus uniquement pour analyser les disques et la mémoire. Pour accéder au firmware, un outil particulier est nécessaire.

Le “Scanner UEFI” est un module présent dans les solutions de sécurité ESET dont la seule fonction est de lire le contenu du firmware UEFI et de le rendre accessible à l'analyse. Ainsi, ESET UEFI Scanner donne la possibilité au moteur d'analyse d'ESET d'évaluer et de renforcer la sécurité de l'environnement pre-boot.

En somme, les produits ESET, avec leur capacités d'analyse UEFI, sont conçus pour détecter les composants suspects ou malveillants directement dans le firmware et d'en alerter l'utilisateur.

Dès qu'un composant suspect ou malveillant est détecté dans le firmware, l'utilisateur est notifié et peut prendre les mesures nécessaires.

Dans certains cas, il n'y a rien de mauvais avec la détection, le composant suspect peut par exemple appartenir à une solution antivol conçue pour persister dans le système.

Dans d'autres cas cependant, il n'y a pas de raison légitime à la présence du composant détecté dans le firmware. Dans ce cas, des actions de correction et de remédiation doivent être prises.

Malheureusement, il n'y a pas de méthode simple pour nettoyer le système d'une telle menace. Habituellement, le firmware a besoin d'être mis à jour (flashé) pour retirer les composants malveillants. Si le reflashing de l'UEFI n'est pas une option, la seule alternative est le remplacement de la carte mère.

La déouverte d'ESET est entièrement détaillée dans un article et dans un livre blanc publiés sur le blog d'ESET, WeLiveSecurity.

En résumé, les chercheurs d'ESET, menés par Jean-Ian Boutin, Senior Researcher chez ESET, ont fait un travail excepetionnel, en combinant leur connaissances approfondies du groupe Sednit APT, les données issues de la télémétrie des systèmes de détection d'ESET et une précédentes découverte par leurs confrères chez Arbor Network. Ils ont donc découvert un nouvel ensemble d'outils de cyber attaque, dont le premier rootkit UEFI découvert "in-the-wild".

Sednit, qui opère depuis 2004 et qui est également connu sous les noms APT28, STRONTIUM, Sofacy et Fancy Bear, est un des groupes APT (Advanced Persistent Threat) les plus actifs. De tels groupes sont connus pour leur activité de cyber espionnage et leurs cyber attaques sur des cibles de grandes notoriété.

L'attaque sur le Comité National Démocrate qui a affecté les élections américaines de 2016, le piratage de la chaine de télévision mondiale TV5Monde, la fuite de mails de l'Agence Mondiale anti-dopage, et d'autres attaques sont l'oeuvre présupposée de Sednit.

Ce groupe possède un ensemble d'outils utilisés pour mener les cyber attaques, dont les chercheurs d'ESET ont déjà compilé des informations dans leur précédent livre blanc ainsi que dans de nombreux articles du blog WeLiveSecurity. La découverte du rootkit UEFI LoJax montre que le groupe Sednit APT est encore plus dangereux et développé que ce qui était admis, selon Jean-Ian Boutin, Senior Malware Researcher chez ESET qui a mené les recherches récentes sur la campagne de Sednit.

ESET n'attribue pas de cause géopolitique à ces attaques. Tirer de telles conclusions sur des recherches scientifiques est une tâche délicate qui va au-delà des attributions des chercheurs en sécurité d'ESET. Ce que les chercheurs d'ESET appellent “le groupe Sednit” n'est rien d'autre qu'un ensemble de softwares et l'infrastructure réseau depuis laquelle sont lancées les attaques, sans aucun lien avec une organisation quelle qu'elle soit.