Un rootkit est un type de logiciel malveillant particulièrement dangereux. Une infection malveillante "normale" se charge lorsque vous entrez dans le système d'exploitation. C'est toujours une mauvaise situation, mais un antivirus décent devrait supprimer les logiciels malveillants et nettoyer votre système.
À l'inverse, un rootkit s'installe sur le micrologiciel de votre système et permet l'installation d'une charge utile malveillante à chaque redémarrage de votre système.
Les chercheurs en sécurité ont repéré une nouvelle variante de rootkit dans la nature, nommée LoJax. Qu'est-ce qui distingue ce rootkit des autres ? Eh bien, il peut infecter les systèmes modernes basés sur UEFI, plutôt que les anciens systèmes basés sur le BIOS. Et c'est un problème.
ESET Research a publié un article de recherche qui détaille LoJax, un rootkit récemment découvert (qu'est-ce qu'un rootkit ?) qui réutilise avec succès un logiciel commercial du même nom. (Bien que l'équipe de recherche ait baptisé le logiciel malveillant "LoJax", le logiciel authentique s'appelle "LoJack".)
En plus de la menace, LoJax peut survivre à une réinstallation complète de Windows et même au remplacement du disque dur.
Le logiciel malveillant survit en attaquant le système de démarrage du micrologiciel UEFI. D'autres rootkits peuvent se cacher dans des pilotes ou des secteurs de démarrage, selon leur codage et l'intention de l'attaquant. LoJax se connecte au micrologiciel du système et réinfecte le système avant même que le système d'exploitation ne se charge.
Pour l'instant, la seule méthode connue pour supprimer complètement le logiciel malveillant LoJax consiste à faire clignoter un nouveau micrologiciel sur le système suspect. Un flash de firmware n'est pas quelque chose avec lequel la plupart des utilisateurs ont de l'expérience. Bien que plus facile que par le passé, il y a toujours un risque que le flashage d'un micrologiciel tourne mal, risquant de bloquer la machine en question.
LoJax utilise une version reconditionnée du logiciel antivol LoJack d'Absolute Software. L'outil d'origine est censé être persistant tout au long d'un effacement du système ou d'un remplacement de disque dur afin que le titulaire de la licence puisse suivre un appareil volé. Les raisons pour lesquelles l'outil s'enfouit si profondément dans l'ordinateur sont assez légitimes, et LoJack est toujours un produit antivol populaire pour ces qualités exactes.
Étant donné qu'aux États-Unis, 97 % des ordinateurs portables volés ne sont jamais récupérés, il est compréhensible que les utilisateurs souhaitent une protection supplémentaire pour un investissement aussi coûteux.
LoJax utilise un pilote de noyau, RwDrv.sys , pour accéder aux paramètres BIOS/UEFI. Le pilote du noyau est fourni avec RWEverything, un outil légitime utilisé pour lire et analyser les paramètres informatiques de bas niveau (les bits auxquels vous n'avez normalement pas accès). Il y avait trois autres outils dans le processus d'infection du rootkit LoJax :
Si LoJax se rend compte que la mémoire flash SPI est protégée, il exploite une vulnérabilité connue (CVE-2014-8273) pour y accéder, puis continue et écrit le rootkit en mémoire.
L'équipe de recherche d'ESET pense que LoJax est l'œuvre du tristement célèbre groupe de piratage russe Fancy Bear/Sednit/Strontium/APT28. Le groupe de piratage est responsable de plusieurs attaques majeures ces dernières années.
LoJax utilise les mêmes serveurs de commande et de contrôle que SedUploader --- un autre logiciel malveillant de porte dérobée Sednit. LoJax contient également des liens et des traces d'autres logiciels malveillants Sednit, notamment XAgent (un autre outil de porte dérobée) et XTunnel (un outil de proxy réseau sécurisé).
En outre, les recherches d'ESET ont révélé que les opérateurs de logiciels malveillants "utilisaient différents composants du logiciel malveillant LoJax pour cibler quelques organisations gouvernementales dans les Balkans ainsi qu'en Europe centrale et orientale".
La nouvelle de LoJax a certainement incité le monde de la sécurité à s'asseoir et à en prendre note. Cependant, ce n'est pas le premier rootkit UEFI. L'équipe de piratage (un groupe malveillant, juste au cas où vous vous poseriez la question) utilisait un rootkit UEFI/BIOS en 2015 pour maintenir un agent système de contrôle à distance installé sur les systèmes cibles.
La principale différence entre le rootkit The Hacking Team UEFI et LoJax est la méthode de livraison. À l'époque, les chercheurs en sécurité pensaient que The Hacking Team avait besoin d'un accès physique à un système pour installer l'infection au niveau du micrologiciel. Bien sûr, si quelqu'un a un accès direct à votre ordinateur, il peut faire ce qu'il veut. Pourtant, le rootkit UEFI est particulièrement méchant.
Les systèmes modernes basés sur UEFI présentent plusieurs avantages distincts par rapport à leurs homologues plus anciens basés sur le BIOS.
D'une part, ils sont plus récents. Le nouveau matériel n'est pas la solution ultime, mais il facilite de nombreuses tâches informatiques.
Deuxièmement, le micrologiciel UEFI possède également quelques fonctionnalités de sécurité supplémentaires. Il convient de noter en particulier le démarrage sécurisé, qui n'autorise l'exécution que des programmes avec une signature numérique signée.
Si cela est désactivé et que vous rencontrez un rootkit, vous allez passer un mauvais moment. Secure Boot est également un outil particulièrement utile à l'ère actuelle des ransomwares. Regardez la vidéo suivante de Secure Boot traitant du rançongiciel extrêmement dangereux NotPetya :
NotPetya aurait tout chiffré sur le système cible si le démarrage sécurisé avait été désactivé.
LoJax est un tout autre type de bête. Contrairement aux rapports précédents, même Secure Boot ne peut pas arrêter LoJax . Garder votre firmware UEFI à jour est extrêmement important. Il existe également des outils anti-rootkit spécialisés, mais il n'est pas clair s'ils peuvent protéger contre LoJax.
Cependant, comme de nombreuses menaces avec ce niveau de capacité, votre ordinateur est une cible de choix. Les logiciels malveillants avancés se concentrent principalement sur des cibles de haut niveau. De plus, LoJax a des indications d'implication d'acteurs menaçants de l'État-nation; une autre forte chance que LoJax ne vous affecte pas à court terme. Cela dit, les logiciels malveillants ont un moyen de filtrer dans le monde. Si les cybercriminels repèrent l'utilisation réussie de LoJax, cela pourrait devenir plus courant dans les attaques de logiciels malveillants classiques.
Comme toujours, garder votre système à jour est l'un des meilleurs moyens de protéger votre système. Un abonnement Malwarebytes Premium est également d'une grande aide.