Rootkit LoJax UEFI : la menace persistante développée par des hackers russes

Un rootkit est un malware particulièrement insidieux. Contrairement à une infection classique qui se charge au démarrage du système d'exploitation (et peut souvent être éliminée par un antivirus fiable), un rootkit s'installe dans le micrologiciel du système, réinfectant la machine à chaque redémarrage.

Les experts en cybersécurité d'ESET ont identifié une variante récente nommée LoJax, capable d'infecter les systèmes UEFI modernes – une première pour ce type de menace, surpassant les anciens BIOS.

Le rootkit LoJax UEFI

Selon l'analyse détaillée d'ESET Research, LoJax réutilise des composants du logiciel commercial légitime LoJack (antivol pour ordinateurs). Il survit même à une réinstallation complète de Windows ou au remplacement du disque dur.

LoJax cible le micrologiciel UEFI, se réactivant avant le chargement de l'OS. Les autres rootkits se cachent souvent dans des pilotes ou secteurs de démarrage. Pour l'éliminer, un reflashage du firmware est nécessaire – une opération risquée réservée aux experts.

Comment fonctionne le rootkit LoJax ?

LoJax exploite une version modifiée de LoJack d'Absolute Software, conçu pour persister après effacement ou vol (97 % des laptops volés aux États-Unis ne sont jamais récupérés). Il utilise le pilote kernel RwDrv.sys (de RWEverything, outil légitime pour analyser les paramètres bas niveau).

Le processus d'infection implique trois outils :

• Un outil extrait les paramètres système bas niveau dans un fichier texte pour contourner les protections.
• Un second sauvegarde l'image du firmware UEFI depuis la mémoire flash SPI.
• Un troisième injecte le module malveillant et réécrit la mémoire flash SPI.

Si protégée, LoJax exploite CVE-2014-8273 pour accéder à la mémoire.

D'où vient LoJax ?

ESET attribue LoJax au groupe APT28 (Fancy Bear/Sednit/Strontium), connu pour des cyberattaques majeures. Il partage serveurs C&C et traces avec SedUploader, XAgent et XTunnel. Il a visé des gouvernements en Balkans, Europe centrale et orientale.

LoJax n'est pas le premier rootkit UEFI

En 2015, Hacking Team utilisait déjà un rootkit UEFI, mais nécessitant un accès physique. LoJax marque une évolution.

Votre système est-il menacé par LoJax ?

Les systèmes UEFI offrent des avantages : matériel récent et Secure Boot (vérification des signatures numériques). Secure Boot bloque des ransomwares comme NotPetya, mais pas LoJax.

Maintenir le firmware à jour est crucial. Les outils anti-rootkit spécialisés existent, mais leur efficacité contre LoJax reste incertaine. Les menaces étatiques comme LoJax ciblent prioritairement des entités de haut niveau, mais une vigilance accrue est recommandée. Mettez à jour votre système et optez pour une protection premium comme Malwarebytes.