Les rootkits sont une véritable plaie pour les responsables sécurité. Sévissant depuis une vingtaine d'années, ces programmes malveillants ont la particularité de permettre à un pirate de prendre le contrôle d'un ordinateur à distance en toute discrétion. Pour éviter une telle déconvenue, une technologie de démarrage sécurisé UEFI (Unified Extensible Firmware Interface) permet de s'assurer qu'aucun programme malveillant de type rootkit n'est installé sur le système pour par exemple modifier un OS en cachant certaines clés de registres et permettre à un pirate de surveiller, enregistrer, modifier ou transférer les données présentes sur l'ordinateur à l'insu total de l'utilisateur.

L'imagination débordante des pirates les ont naturellement amenés à s'attaquer à l'UEFI en développant un rootkit dédié, découvert en 2018 par les chercheurs en sécurité d'Eset à l'occasion de leurs enquêtes sur des cyberattaques fomentées par APT28 contre des ONG, et connu sous l'appellation LoJax. Làs, un deuxième a été identifié par Kaspersky, nommé MosaicRegressor, et qui s'avère non moins aussi dangereux.

Une version personnalisés du bootkit VectorEDK

Selon les chercheurs en sécurité de l'éditeur russe qui ont mis la main dessus, Mark Lechtik and Igor Kuznetsov, MosaicRegressor s'avère toutefois plus modulaire et se présente davantage comme un framework malveillant à plusieurs niveaux. Selon ces chercheurs, il aurait été utilisé par des pirates chinois dans le cadre d'opérations de vol de données et d'espionnage. MosaicRegressor inclus différents malwares pour télécharger et exécuter des charges utiles malveillantes sur des machines cibles. « Le fait que le framework se compose de plusieurs modules aide les attaquants à le dissimuler à l'analyse et à déployer des composants sur les machines cibles uniquement à la demande», a expliqué Kaspersky. « En effet, nous n'avons pu obtenir qu'une poignée de composants de charge utile au cours de notre enquête. »

D'après Kaspersky, MosaicRegressor apparait comme une version personnalisée du bootkit VectorEDK découvert lors des leaks de Hacking Team en 2015. « Ce code consistait en un ensemble de modules UEFI qui pouvaient être incorporés dans le micrologiciel de la plateforme afin de lui permettre de déployer une porte dérobée sur le système et exécutée lors du chargement du système d'exploitation, ou de le redéployer s'il était effacé », a précisé Kaspersky. Plusieurs composants de MosaicRegressor ont été trouvés sur les ordinateurs de plusieurs dizaines d'organisations, y compris des ONG et des entités diplomatiques d'Afrique, d'Asie et d'Europe entre 2017 et 2019.

Un vecteur d'infection inconnu à ce jour

« Malheureusement, nous n'avons pas pu déterminer le vecteur d'infection exact et les brèches possibles affectant le firmware UEFI », a fait savoir Kaspersky. « Nos logs de détection ont enregistré que seul le firmware lui-même s'est avéré malveillant, voire suspect précédemment ». Un scénario de compromission évoqué par l'éditeur suggère un accès physique aux machines compromises et l'utilisation d'un outil dédié à l'injection de code malveillant à partir d'une clé USB. Un autre fait état d'un bootkit déployé à distance ayant compromis le processus d'authentification BIOS après exploit de vulnérabilités spécifiques.