Les chercheurs de Kaspersky ont découvert un nouveau type de rootkit puissant pour l'interface UEFI (Unified Extensible Firmware Interface), connu sous le nom de CosmicStrand, qu'ils attribuent à un acteur non identifié venu de Chine.

Après avoir mis en lumière le malware MoonBounce au début de l’année, l'équipe de recherche sur les menaces de sécurité du fabricant d'antivirus Kaspersky a découvert un autre rootkit, un logiciel implanté dans un ordinateur qui peut donner aux attaquants un accès administrateur, appelé “CosmicStrand”. Ce dernier ne serait pas nouveau, puisqu’il s'agirait d'une évolution d'un malware antérieur appelé Spy Shadow Trojan qui a été découvert dès 2016. Les chercheurs ont trouvé le malware CosmicStrand dans le firmware des cartes mères Asus et Gigabyte.

Les cartes mères infectées examinées par Kaspersky fonctionnaient toutes sur le chipset H81 d'Intel, ce qui suggère « l'existence d'une vulnérabilité commune qui a permis aux attaquants d'injecter leur rootkit dans l'image du firmware ». Pour rappel, Intel a abandonné le chipset en 2020 après l'avoir introduit à la mi-2013.

Lire également : Ce malware indétectable par les antivirus se cache dans un endroit insoupçonné du SSD

Le malware est tenace, il peut survivre à un formatage du disque

Kaspersky précise que ComicStrand délivre un implant au niveau du noyau dans un système Microsoft Windows chaque fois que l'ordinateur démarre, car les pirates ont modifié l'interface entre Windows et le micrologiciel de démarrage, une interface connue sous le nom d'interface micrologicielle extensible unifiée. L'UEFI a remplacé l'ancienne interface de microprogramme BIOS (Basic Input/Output System).

Celle-ci réside dans une puce de mémoire flash, soudée à la carte mère d'un ordinateur. Il s'agit du premier logiciel à s'exécuter au démarrage d'un système, ce qui lui permet d'accéder à tous les composants matériels et de les contrôler, ainsi qu'à diverses parties du système d'exploitation de la machine. Comme l'UEFI se trouve à l'intérieur d'une puce mémoire, les logiciels malveillants qui y sont injectés peuvent survivre aux redémarrages, aux formatages et aux réinstallations de systèmes d'exploitation, permettant ainsi aux acteurs de la menace de maintenir leur présence sur les machines compromises.

Les victimes de CosmicStrand semblent être des particuliers de Chine, du Vietnam, d'Iran et de Russie. Selon Kaspersky, CosmicStrand est utilisé par un acteur de menace inconnu parlant chinois. Il partage des caractéristiques de code avec le malware connu sous le nom de MyKings utilisé pour infecter des serveurs avec un logiciel de minage de cryptomonnaies.