ESPecter

Une menace de malware qui a potentiellement pu échapper à la détection pendant près d'une décennie a finalement été détectée par les chercheurs d'infosec. Découverte par des experts en cybersécurité, la menace nommée ESPecter est un bootkit conçu pour charger des pilotes non signés sur le lecteur ESP (EFI System Partition) des systèmes infectés.

Les chercheurs ont retracé les origines de la menace à au moins 2012. Au cours de cette période significative, le changement le plus radical subi par le malware est le passage du ciblage du BIOS hérité et du Master Boot Record à leur successeur UEFI. L'interface de micrologiciel extensible unifiée ou UEFI est un composant crucial qui connecte le micrologiciel de la machine au système d'exploitation.

Jusqu'à présent, ESPecter n'a été attribué à aucun acteur de menace spécifique, en raison du manque de preuves suffisantes. Certains signes trouvés dans les composants de la menace, tels que ses messages de débogage, suggèrent que ses créateurs sont des individus de langue chinoise. La méthode de distribution utilisée dans la livraison d'ESecter est également inconnue pour le moment. L'acteur de la menace peut utiliser une vulnérabilité UEFI zero-day, un bogue connu mais toujours non corrigé, ou peut avoir un accès physique aux machines ciblées.

Détails techniques

ESPecter se place dans l'ESP et établit sa persistance via un patch appliqué au gestionnaire de démarrage Windows. De plus, le correctif permet à ESPecter de contourner complètement les protocoles Windows Driver Signature Enforcement (DSE) et de charger ses propres pilotes non signés sur la machine compromise. La menace peut également injecter des composants dangereux supplémentaires pour établir une connexion au serveur Command-and-Control (C2, C&C) de l'attaquant.

Les chercheurs ont découvert des modules de keylogging et de vol de fichiers sur les systèmes infectés par ESPecter, indiquant que l'objectif principal de l'acteur de la menace pourrait être le cyber-espionnage et la surveillance des cibles choisies. En effet, ESPecter est également équipé de la fonctionnalité permettant de prendre des captures d'écran arbitraires et de les stocker dans un répertoire caché, à côté des journaux de clés et des documents collectés.

Cependant, pour exécuter ses activités menaçantes, ESPecter a besoin que la fonction Secure Boot sur le système soit désactivée. Secure Boot a été introduit pour la première fois en tant que fonctionnalité Windows avec la sortie de Windows 8, de sorte que toutes les versions antérieures du système d'exploitation deviennent automatiquement sensibles à une attaque ESPecter. Cependant, l'utilisation d'une version plus récente de Windows ne suffit pas. De nombreuses vulnérabilités du micrologiciel UEFI sont apparues au cours des deux dernières années, permettant aux attaquants de désactiver ou de contourner carrément le démarrage sécurisé.