Posté le juillet 28, 2022 à 9:38
LE LOGICIEL MALVEILLANT COSMICSTRAND TROUVÉ SUR DES CARTES MÈRES GIGABYTE ET ASUS
Un groupe de hackers Chinois a été découvert utilisant un vieux logiciel malveillant qui se trouve sans être détecté dans les images du firmware de plusieurs cartes mères. Les rapports de l’éditeur d’antivirus Kaspersky ont révélé que le logiciel malveillant existe depuis 2016 et que les hackers l’utilisent pour l’une des menaces les plus constantes appelée rootkit UEFI.
La souche du logiciel malveillant est capable de survivre aux réinstallations de systèmes d’exploitation. Elle a activement compromis des cartes mères plus anciennes de Gigabyte et ASUS sans être détectée.
Le logiciel malveillant, baptisé CosmicStrand, est conçu pour s’infiltrer dans l’interface UEFI (Unified Extensible Firmware Interface) de la carte mère et persister dans le système Windows, même si le disque dur n’est plus là.
Kaspersky a déclaré lundi avoir repéré CosmicStrand sur des systèmes Windows en Russie, en Iran, au Vietnam et en Chine. Toutes les victimes utilisaient le logiciel antivirus gratuit de l’éditeur, ce qui signifie qu’il s’agissait probablement de particuliers.
CosmicStrand peut exécuter un processus malveillant au démarrage du système
La société de sécurité a déclaré qu’au cours de son enquête, elle a découvert que CosmicStrand se trouvait sur des images de firmware pour d’anciennes cartes mères Gigabyte et Asus qui utilisent le chipset H81. Ce dernier a été introduit en 2013 mais a été abandonné.
En infectant l’UEFI de la carte mère, CosmicStrand peut exécuter un processus malveillant dès le démarrage du PC.
Le système peut alors récupérer un outil malveillant sur un serveur contrôlé par des hackers et l’installer dans le système d’exploitation Windows.
Les chercheurs de Kaspersky ont toutefois admis qu’ils n’ont pas pu obtenir une copie des données du serveur de commande et de contrôle (C2).
La société n’a pas non plus vu de preuve que les développeurs de CosmicStrand essayaient de détourner à distance la machine compromise.
Les chercheurs ont également admis qu’ils ne savent pas exactement comment CosmicStrand a réussi à s’introduire dans les ordinateurs des victimes. Mais ils ont déclaré que le logiciel malveillant pourrait avoir été placé via une autre souche de logiciel malveillant qui existe déjà dans la machine affectée. Il peut aussi être introduit par des hackers qui ont obtenu un accès physique au matériel.
D’après les différentes images que les chercheurs ont pu recueillir, un patcheur automatisé a été utilisé pour effectuer les modifications. Cela signifie que les attaquants auraient pu avoir un accès antérieur à l’ordinateur de la victime, ce qui lui a permis de voler, de modifier et d’écraser le firmware de la carte mère.
Autres logiciels malveillants UEFI découverts par le passé
CosmicStrand est l’un des nombreux autres logiciels malveillants basés sur l’UEFI découverts dans la nature. Au fil des ans, l’industrie de l’antivirus a découvert plusieurs souches de logiciels malveillants de la même famille UEFI. Mais alors que beaucoup d’entre elles ont été découvertes et rendues obsolètes, CosmicStrand a caché ses opérations pendant plusieurs années.
Selon l’enquête de Kaspersky, un échantillon du logiciel malveillant envoyait des informations au serveur C2 qui a été vu pour la première fois en décembre 2016. Les chercheurs ont également vu un autre échantillon envoyer des informations à un serveur distinct contrôlé par des hackers en 2020.
En outre, les chercheurs ont déclaré que le fournisseur d’antivirus Chinois Qihoo 360 a découvert une variante antérieure de CosmicStrand en 2017, qui affectait la carte mère Asus B85M.
Le rapport initial de Qihoo indiquait que l’acheteur avait peut-être reçu une carte mère rétrocédée après l’avoir commandée auprès d’un revendeur d’occasion. Mais Kaspersky a déclaré qu’il n’était pas en mesure de confirmer cette information.
Des hackers Chinois sont suspectés
Kaspersky a déclaré que, sur la base des informations disponibles dans le cadre de l’enquête, des hackers Chinois sont soupçonnés d’être à l’origine du logiciel malveillant CosmicStrand. Le fournisseur de cybersécurité a déclaré que le code informatique affecté présente les mêmes caractéristiques que d’autres logiciels malveillants liés à des hackers de nationalité Chinoise.
Les produits Kaspersky découvrent normalement la menace et empêchent son exécution. Cependant, une désinfection complète du logiciel n’est pas envisageable car le risque d’endommager complètement le système de l’utilisateur est élevé.
Il a également été observé que le code UEFI est le premier à s’exécuter pendant la séquence de démarrage d’un ordinateur, avant même les solutions de sécurité et le système d’exploitation. Le logiciel malveillant fourni dans l’image du micrologiciel UEFI est très difficile à identifier et très persistant. Les chercheurs ont noté que le logiciel malveillant est très tenace et ne peut pas être éliminé en remplaçant le disque de stockage ou en réinstallant le système d’exploitation.
La seule façon d’éliminer complètement l’infection est de réinitialiser le firmware de la carte mère. Cela nécessite une opération très minutieuse qui peut être effectuée via le BIOS pour les utilisateurs avancés. Cela peut également être possible grâce à des utilitaires fournis par le fournisseur du matériel.
Une autre méthode pour supprimer l’infection consiste à remplacer la carte mère du système avant de réinstaller Windows.
