Les chercheurs de Kaspersky pensent que le malware MoonBounce est exploité par APT41. Aussi appelé Winnti, il s’agit d’un groupe de hackers chinois connu pour ses attaques sur les chaînes d’approvisionnement en logiciels (CCleaner, Asus) et actif depuis au moins une décennie.

Un micrologiciel de pointe

MoonBounce serait l’implant de micrologiciel UEFI « le plus avancé » découvert à ce jour, selon des analystes en sécurité. L’UEFI, pour Unified Extensible Firmware Interface, est une spécification technique qui aide les systèmes d’exploitation et les micrologiciels à s’interfacer dans les ordinateurs. En clair, il s’agit d’un logiciel de bas niveau qui se lance dès que l’utilisateur démarre son PC. Il remplace le BIOS sur les cartes mères des ordinateurs depuis 2012.

Mais attention, les pirates informatiques ont trouvé un moyen d’implanter un code malveillant dans ce microprogramme, l'« UEFI bootkit ». Une manipulation qui leur permet de s’immiscer dans un PC, tout en restant cachés des antivirus et de tout outil de sécurité fonctionnant au niveau du système d’exploitation.

Pour se camoufler, ces outils détournent la séquence de démarrage et s’initialisent avant les composants de sécurité du système d’exploitation. Le plus souvent, ils se nichent dans des zones qui ne peuvent pas être effacées. Par exemple, dans le cas MoonBounce, l’emplacement d’implantation se trouve sur la mémoire flash SPI de la carte mère. Un emplacement qui le rend invincible, même en cas de remplacement du disque dur.

Le malware MoonBounce

Dans MoonBounce, le code malveillant est intégré dans un module de firmware existant (CORE_DXE). Il est donc subtil et difficile à détecter. Une fois infecté, le système se retrouve complètement sous le contrôle des pirates.

Au moment du démarrage du PC, MoonBounce créé un pilote malveillant dans l’espace mémoire du noyau Windows. Une première étape qui permet aux pirates d’injecter des logiciels malveillants dans le processus système svchost.exe (Processus hôte pour les services Windows). Autrement dit, dès que l’ordinateur démarre, MoonBounce s’est déjà niché et fonctionne en arrière-plan.

Ces malwares se connectent ensuite à des serveurs de commande et de contrôle (C & C) pour télécharger et installer d’autres logiciels malveillants.

Les cibles d’APT41

Alors que le ministère américain de la Justice a identifié et inculpé cinq membres d’APT41 en septembre 2020, l’existence de MoonBounce et prouve que les cybercriminels n’ont pas été découragés par la pression juridique.

D’après le rapport de Kaspersky, l’organisation contrôle plusieurs entreprises actives dans le domaine des technologies de transport. L’objectif principal du groupe de cybercriminels est de s’implanter durablement dans le réseau et de mener des actions de cyberespionnage en exfiltrant des données précieuses.

Les conseils de Kaspersky

Les chercheurs de Kaspersky n’ont toujours pas compris comment le malware parvenait à affecter le microprogramme UEFI. En attendant, l’équipe fournit quelques conseils.

Kaspersky conseille de mettre à jour son micrologiciel UEFI directement auprès du fabricant. L’entreprise suggère également de s’assurer que BootGuard est activé. L’activation des Trust Platform Modules peut constituer une protection supplémentaire. Enfin, Kaspersky recommande l’utilisation d’une solution de sécurité qui analyse le firmware du système. Un moyen de détecter les problèmes et de prendre les mesures nécessaires en cas de détection d’un malware UEFI.