Kaspersky a découvert un nouveau logiciel espion, MosaicRegressor, construit à partir du code fuité d’un logiciel du célèbre groupe Hacking Team. Sa force ? Il se réinstalle en toute discrétion même si le disque dur est effacé ou changé.

En 2015,  un hacker œuvrant sous le pseudonyme « Phineas Fisher » publiait 400 Go de données appartenant à Hacking Team. Cette entreprise italienne s’était fait connaître avec ses logiciels d’espionnages, vendus à des gouvernements et autres organisations privées. Dans la fuite se trouvait, aux côtés d’emails et de fichiers clients de l’entreprise, le code de certains de ces outils. Des indications suffisantes pour que d’autres hackers puissent les recréer.

5 ans après cette célèbre fuite, l’entreprise de cybersécurité Kaspersky a repéré sur l’ordinateur de deux de ses clients — des diplomates asiatiques — des traces d’un logiciel espion similaire à VectorEDK, un des outils de la gamme de Hacking Team destiné aux ordinateurs.

newpsp.jpg

Même si vous changez le disque dur de l’ordinateur, le logiciel espion se réinstallera. // Source : Louise Audry pour Numerama

La source du logiciel espion est en dehors du disque dur

Ce nouveau logiciel espion modifie l’UEFI, une interface qui fait le lien entre le firmware (une couche logicielle profonde, en charge du fonctionnement des composants matériels) et le système d’exploitation de l’ordinateur (Windows, MacOS, Linux). L’UEFI est stockée sur une puce de la carte mère, et non sur son disque dur, comme le système d’exploitation, qu’elle sert d’ailleurs à faire démarrer.

Cette particularité, relevée par Wired, va permettre au logiciel espion de résister aux mesures classiques prises contre les malwares. Le plus souvent, les antivirus se contentent de scanner les informations stockées sur le disque dur. Et en cas d’infection, il suffit d’effacer le disque dur et d’y réinstaller le système d’exploitation pour se débarrasser du malware. Dans le pire des cas, le disque dur peut même être changé.

Mais le nouveau logiciel espion ne sera pas supprimé, même dans ce cas extrême. Il va utiliser sa position sur l’UEFI comme une porte dérobée pour installer sur le disque dur un autre code malveillant, au fonctionnement plus commun, nommé MosaicRegressor par Kaspersky.

C’est ce code qui va déployer les fonctionnalités d’espionnage, et qui pourra être supprimé par le propriétaire de l’ordinateur. Mais c’est bien la première partie du logiciel, qui se sert de l’UEFI pour installer MosaicRegressor, qui va le rendre particulièrement virulent et tenace, puisqu’elle permettra de faire le réinstaller en boucle, discrètement.

Mystère sur le mode de contamination

En plus des deux ordinateurs de diplomates asiatiques qu’il a regardés de près, Kaspersky a trouvé des traces de MosaicRegressor sur les ordinateurs de diplomates et d’employés d’ONG en Afrique, en Asie et en Europe. Leur point commun : tous travaillent sur des sujets liés à la Corée du Nord.

Les chercheurs ont attribué l’usage du nouveau logiciel espion à des hackers chinois, car c’est la langue prédominante dans son code, mais ils n’ont pas assez d’indicateurs pour le lier à un groupe en particulier.

Reste un mystère dans l’affaire : les chercheurs ne savent pas comment les pirates ont modifié l’UEFI des ordinateurs. Les hackers peuvent utiliser des emails de phishing personnalisés sur les questions liées à la Corée du Nord pour déployer directement MosaicRegressor. Mais ils ne peuvent pas utiliser ce biais pour modifier une couche aussi profonde que l’UEFI afin d’installer la porte dérobée…


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.