Baptisée MoonBounce, cette menace, identifiée par Kaspersky se loge dans le firmware UEFI, composant de la carte-mère utilisé par l’OS au démarrage d’un ordinateur. Apparu pour la première fois en avril 2021, cette menace APT (Advanced Persistent Threat) pointe vers le groupe d'attaquants sinophones APT41
Moonbounce cible l’UEFI qui est doté d’une mémoire non volatile, appelée Flash SPI. Ce type de malware implanté par un firmware bookit, se lance avant le système d’exploitation, ce qui le rend difficile à détecter. En outre, ne se trouvant pas sur un disque dur ou SSD, il n’est pas analysé par les solutions classiques de sécurité, hormis les antimalwares dotés d’une fonction d’examen minutieux des supports de stockage. Moonbounce est plus complexe et sophistiqué que les précédents APT découverts par Kaspersky, Lojax et MosaicRegressor. En pratique, logé dans le composant CORE_DXE du firmware, il intercepte certaines fonctions pour atteindre le système d’exploitation afin d’accéder à un serveur de commande et contrôle. Cela lui permet de récupérer d’autres payloads (groupes de code malveillant).
Les chercheurs de Kaspersky ont trouvé sur plusieurs nœuds d’un même réseau, des outils de téléchargement et des malwares capables de communiquer avec des serveurs, ainsi qu’un outil dédié qui copie les identifiants et codes de sécurité. Le vecteur d'infection exact restant inconnu, Kaspersky suppose que l’infection met à profit un accès à distance. Plus subtil et discret que LoJax et MosaicRegressor qui exploitaient l'ajout de pilotes DXE, MoonBounce modifie un composant du firmware existant.
Pendant toute la durée de l’attaque, les pirates ont archivé des fichiers et collecté des informations sur le réseau. Les commandes utilisées montrent que le but de l’intrusion est l’exfiltration de données. Le groupe d’attaquants APT41, d’origine chinoise, est connu pour ses actions de cyberespionnage et d'attaques dans le monde entier, au moins depuis 2012. De plus, la découverte des malwares précités sur un même réseau indique une possible connexion entre APT41 et d'autres acteurs.
BootGuard et Trusted Platform Modules: des technologies de défense à la rescousse
« La menace est plus difficile à détecter car un composant central du firmware, auparavant inoffensif, peut être changé pour faciliter le déploiement d'un malware sur le système. Une nouveauté par rapport aux précédents firmware bootkits comparables. […] Il ne serait pas surprenant de détecter des bootkits supplémentaires en 2022. Heureusement, les fournisseurs ont commencé à prêter plus d'attention aux attaques visant le firmware. Les technologies de sécurité comme BootGuard et Trusted Platform Modules sont progressivement adoptées», souligne Mark Lechtik, senior security researcher, GReAT, Kaspersky. L’éditeur russe préconise aux équipes SOC (Security Operations Center) d’utiliser Kaspersky Endpoint Detection and Response pour la détection, l'investigation et la correction rapide des incidents au niveau des terminaux. Une bonne précaution consiste à mettre régulièrement à jour le firmware et d’activer le démarrage sécurisé, en particulier BootGuard et TPM quand cela est possible.