LoJax, le tout premier rootkit UEFI détecté lors d’une cyberattaque

Les ordinateurs modernes utilisent ce que l’on appelle une interface UEFI (Unified Extensible Firmware Interface) pour être opérationnel. Lorsque vous appuyez sur le bouton d’alimentation de votre Mac ou PC, l’UEFI commence à communiquer avec le matériel de votre ordinateur et avec le système d’exploitation de votre choix, qu’il s’agisse de Mac, Windows ou Linux. Cependant, dans une tournure des événements terrifiante, les chercheurs d’ESET ont découvert un logiciel malveillant, un rootkit, qui s’infiltre dans votre UEFI et dont il est presque impossible de se débarrasser, même détecté.

Les rootkits sont des éléments malveillants de logiciels qui peuvent infecter la machine d’un utilisateur et accéder à des zones généralement inaccessibles, telles que des données utilisateur privées ou des fichiers système protégés. Alors que le concept de rootkits tirant parti de l’interface UEFI d’un ordinateur n’est pas nouveau, c’est la première fois qu’un échantillon est détecté dans la nature.

Le rootkit UEFI, nommé LoJax, tire parti d’un logiciel légitime conçu par la société canadienne Absolute Software. La société de sécurité propose une solution antivol pour les ordinateurs appelés LoJack, qui peut aider les victimes à localiser leurs biens volés. L’une des caractéristiques les plus exceptionnelles de LoJack est sa capacité à rester présent sur une machine lorsque le système d’exploitation est réinstallé, et la variante désormais malveillante de LoJax profite grandement de cette fonction.

LoJax s’est avéré être l’enfant du groupe de cyber espionnage et de piratage Fancy Bear . Généralement reconnu comme un produit de l’agence de renseignement militaire russe GRU, le groupe a été à l’origine de nombreuses attaques importantes, notamment au parlement allemand, à la Maison Blanche, à l’OTAN, au Comité national démocrate et au Comité international olympique.

Ce qui rend un rootkit UEFI particulièrement dangereux par rapport à un rootkit standard, c’est sa capacité à survivre. LoJax peut non seulement accéder à des fichiers restreints sur la machine d’un utilisateur, mais peut également supporter l’équivalent numérique d’un holocauste complet. En raison de la manière dont le rootkit se connecte à la mémoire flash SPI d’une machine, la puce dans laquelle l’UEFI est conservé, en effaçant votre disque interne ou en le remplaçant complètement, ne s’en débarrassera pas.

Le rootkit LoJax ne peut être supprimé que d’un système en reprogrammant la mémoire flash SPI, opération très délicate et complexe, ou en remplaçant complètement la carte mère. Les individus peuvent aider à se protéger contre les attaques en s’assurant que Secure Boot est activé sur leurs ordinateurs . Cela empêche les micrologiciels non autorisés sur votre UEFI de démarrer votre ordinateur.