Le firmware UEFI est un composant essentiel de la grande majorité des machines : son code démarre l’appareil avant de passer le relai au logiciel qui charge le système d’exploitation. Ce code se trouve dans une mémoire non volatile externe au disque dur, appelée Flash SPI. Lorsqu’un malware est implanté par un firmware bootkit, il se lance donc avant le système d’exploitation, et il devient très difficile de s’en débarrasser. En effet, il ne suffit pas de reformater le disque dur ou de réinstaller le système d’exploitation. De plus, le code étant isolé du disque dur, l’activité de ces bootkits passe pratiquement inaperçue, sauf quand les solutions de sécurité sont dotées d’une fonction d’analyse spécifique.

MoonBounce est seulement le troisième bootkit UEFI identifié. Apparu au printemps 2021, il a été découvert par les chercheurs de Kaspersky alors qu’ils examinaient l’activité de leur Firmware Scanner, inclus dans les produits Kaspersky depuis le début 2019 afin de détecter spécifiquement les menaces cachées dans le BIOS ROM, y compris les images de firmware UEFI. MoonBounce est plus avancé que les deux bootkits précédemment identifiés, LoJax et MosaicRegressor, car il intègre un flux d’attaque plus complexe et une plus grande sophistication technique.

L’implant se situe dans le composant CORE_DXE du firmware, qui est sollicité au début de la séquence de démarrage UEFI. Ensuite, via une série de hooks interceptant certaines fonctions, les composants de l’implant se frayent un chemin jusqu’au système d’exploitation, depuis lequel ils accèdent à un serveur de commande et de contrôle afin de récupérer d’autres payloads malveillants, que nous n’avons pas pu extraire. Il convient de noter que la chaîne d’infection elle-même ne laisse aucune trace sur le disque dur, car ses composants fonctionnent uniquement en mémoire, ce qui facilite une attaque sans fichier avec une faible empreinte.

En analysant MoonBounce, les chercheurs de Kaspersky ont découvert des loaders malveillants et malwares post-exploitation sur plusieurs nœuds du même réseau : ScrambleCross ou Sidewalk, un implant en mémoire qui peut communiquer avec un serveur C2 pour échanger des informations et exécuter des plugins supplémentaires, Mimikat_ssp, un outil de post-exploitation en accès libre utilisé pour le dumping des identifiants et des secrets de sécurité, une nouvelle porte dérobée basée sur Golang et Microcin, un malware généralement utilisé par le groupe cybercriminel SixLittleMonkeys.

Le vecteur d’infection exact reste inconnu, cependant, on suppose que l’infection survient par le biais d’un accès à distance. Par ailleurs, alors que LoJax et MosaicRegressor exploitaient l’ajout de pilotes DXE, MoonBounce modifie un composant du firmware existant pour une attaque plus subtile et discrète.

Dans l’ensemble de la campagne menée contre le réseau visé, les attaquants ont clairement multiplié les actions, telles que l’archivage de fichiers et la collecte d’informations sur le réseau. Globalement, les commandes employées par les pirates suggèrent qu’ils étaient intéressés par les mouvements latéraux et l’exfiltration de données. L’utilisation d’un implant UEFI atteste que l’espionnage faisait probablement partie de leurs objectifs.

Les chercheurs de Kaspersky disposent d’éléments tangibles permettant d’attribuer MoonBounce à APT41, un groupe de hackers sinophones qui a mené des campagnes de cyberespionnage et d’attaques cyber dans le monde entier au moins depuis 2012. De plus, la coexistence des malwares précités au sein d’un même réseau indique une possible connexion entre APT41 et d’autres acteurs sinophones.

Jusqu’à présent, ce firmware bootkit n’a été détecté qu’une seule fois. Néanmoins, d’autres malwares associés (comme ScrambleCross et ses loaders) ont été identifiés sur les réseaux de plusieurs autres victimes.

« Nous ne pouvons pas établir avec certitude l’existence d’un lien entre MoonBounce et les autres implants de malwares détectés au cours de nos analyses, mais il semble que certains groupes de hackers sinophones partagent des outils dans le cadre de diverses campagnes ; sous toutes réserves, MoonBounce pourrait notamment être lié à Microcin », ajoute Denis Legezo, senior security researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT).

« Plus important encore, ce dernier bootkit UEFI a beaucoup progressé par rapport à MosaicRegressor, dont nous avons parlé en 2020. En fait, la menace est plus difficile à détecter car un composant central du firmware, auparavant inoffensif, peut être changé pour faciliter le déploiement d’un malware sur le système. C’est une innovation par rapport aux précédents firmware bootkits comparables. Nous avions prédit en 2018 que les menaces UEFI deviendraient plus courantes, et cette tendance semble se concrétiser. Il ne serait pas surprenant de détecter des bootkits supplémentaires en 2022. Heureusement, les fournisseurs ont commencé à prêter plus d’attention aux attaques visant le firmware, et des technologies de sécurité comme BootGuard et Trusted Platform Modules sont progressivement adoptées », souligne Mark Lechtik, senior security researcher , GReAT, Kaspersky.

Afin de vous protéger des bootkits UEFI comme MoonBounce, Kaspersky recommande d’appliquer les mesures suivantes :

• Fournissez à votre équipe SOC l’accès aux toutes dernières données en matière de menaces. Le Threat Intelligence Portal de Kaspersky offre un point d’accès centralisé aux informations de l’entreprise sur les attaques cyber depuis plus de 20 ans.

• Pour la détection, l’investigation et la correction rapide des incidents au niveau des terminaux, mettez en œuvre des solutions EDR comme Kaspersky Endpoint Detection and Response.

• Utilisez une solution robuste de protection des terminaux qui peut détecter l’utilisation de firmware, comme Kaspersky Endpoint Security for Business.

• Mettez régulièrement à jour votre firmware UEFI et utilisez uniquement le firmware de fournisseurs de confiance.

• Activez le démarrage sécurisé (« Secure Boot ») par défaut, en particulier BootGuard et TPM quand cela est possible.