Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert un bootkit UEFI actif et inconnu jusqu’à présent qui persiste sur la partition système EFI (ESP). ESET a baptisé ce bootkit ESPecter, contourne la fonction Windows Driver Signature Enforcement pour charger son propre pilote non signé, afin de mener des activités d’espionnage. ESPecter est la seconde découverte d’un bootkit UEFI persistant sur l’ESP, ce qui montre que les menaces UEFI ne se limitent plus à des implants flash SPI, comme ceux découverts par ESET en 2018, utilisés par Lojax.

ESPecter a été découvert sur une machine compromise, il est doté de fonctionnalités d’enregistrement des frappes au clavier et de vol de documents. C’est pourquoi ESET Research estime qu’ESPecter est principalement utilisé pour l’espionnage. Nous avons pu retracer l’origine de cette menace à au moins 2012. Elle s’attaquait alors à des systèmes dotés d’anciens BIOS. Malgré la longue existence d’ESPecter, ses activités et sa mise à niveau vers UEFI sont passées inaperçues et n’ont pas été documentées jusqu’à présent, » déclare Anton Cherepanov, researcher chez ESET, qui a découvert et analysé la menace avec Martin Smolár, researcher chez ESET.

« Ces dernières années, nous avons vu des preuves de concept de bootkits UEFI, des documents ont fuités ainsi que du code source suggérant l’existence de véritables malwares UEFI sous forme d’implants flash SPI ou d’implants ESP. Malgré cela, seuls quatre cas réels de malwares UEFI ont été découverts, dont ESPecter, » explique M. Cherepanov.

En examinant la télémétrie d’ESET, ESET Research a pu retracer les débuts de ce bootkit à au moins 2012. Ce qui est intéressant, c’est que les composants du malware ont à peine changé au cours de toutes ces années, et que les différences entre les versions de 2012 et de 2020 ne sont pas aussi importantes qu’on pourrait le penser.

Lire aussi  Le Evertek M1 Mini, un smartphone au son cristallin

Le second composant déployé par ESPecter est une porte dérobée qui permet d’exécuter un ensemble étendu de commandes et contient différentes fonctionnalités d’exfiltration automatique de données, notamment de vol de documents, d’enregistrement des frappes au clavier et de surveillance de l’écran de la victime par des captures d’écran périodiques. Toutes les données collectées sont stockées dans un répertoire caché.

« ESPecter montre que ses auteurs s’appuient sur des implants de micrologiciel UEFI pour assurer leur persistance avant le chargement du système d’exploitation et ceci malgré les mécanismes de sécurité existants, notamment UEFI Secure Boot. Ces malwares seraient facilement bloqués par ces mécanismes s’ils étaient activés et configurés correctement, » ajoute M. Smolár.

Pour se protéger d’ESPecter ou de menaces similaires, ESET conseille aux utilisateurs de suivre ces règles simples : toujours utiliser la dernière version du firmware, s’assurer que le système est correctement configuré et que Secure Boot est activé, et configurer Privileged Account Management pour empêcher les adversaires d’accéder aux comptes privilégiés nécessaires à l’installation du bootkit.

Pour plus de détails techniques sur ESPecter, lisez l’article « UEFI threats moving to the ESP: Introducing ESPecter bootkit » surWeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.