Les chercheurs d’ESET ont découvert un bootkit UEFI actif et inconnu jusqu’à présent qui persiste sur la partition système EFI (ESP). ESET a baptisé ce bootkit ESPecter. Il contourne la fonction Windows Driver Signature Enforcement pour charger son propre pilote non signé, afin de mener des activités d’espionnage. ESPecter est la seconde découverte d’un bootkit UEFI persistant sur l’ESP, ce qui montre que les menaces UEFI ne se limitent plus à des implants flash SPI, comme ceux découverts par ESET en 2018, utilisés par Lojax.

ESPecter a été découvert sur une machine compromise, il est doté de fonctionnalités d’enregistrement des frappes au clavier et de vol de documents. C’est pourquoi ESET Research estime qu’ESPecter est principalement utilisé pour l’espionnage. "Nous avons pu retracer l’origine de cette menace à au moins 2012. Elle s’attaquait alors à des systèmes dotés d’anciens BIOS. Malgré la longue existence d’ESPecter, ses activités et sa mise à niveau vers UEFI sont passées inaperçues et n’ont pas été documentées jusqu’à présent" déclare Anton Cherepanov, researcher chez ESET, qui a découvert et analysé la menace avec Martin Smolár, researcher chez ESET.

"Ces dernières années, nous avons vu des preuves de concept de bootkits UEFI, des documents ont fuités ainsi que du code source suggérant l’existence de véritables malwares UEFI sous forme d’implants flash SPI ou d’implants ESP. Malgré cela, seuls quatre cas réels de malwares UEFI ont été découverts, dont ESPecter" explique M. Cherepanov.

En examinant la télémétrie d’ESET, ESET Research a pu retracer les débuts de ce bootkit à au moins 2012. Ce qui est intéressant, c’est que les composants du malware ont à peine changé au cours de toutes ces années, et que les différences entre les versions de 2012 et de 2020 ne sont pas aussi importantes qu’on pourrait le penser.

Le second composant déployé par ESPecter est une porte dérobée qui permet d'exécuter un ensemble étendu de commandes et contient différentes fonctionnalités d’exfiltration automatique de données, notamment de vol de documents, d’enregistrement des frappes au clavier et de surveillance de l’écran de la victime par des captures d’écran périodiques. Toutes les données collectées sont stockées dans un répertoire caché.

"ESPecter montre que ses auteurs s’appuient sur des implants de micrologiciel UEFI pour assurer leur persistance avant le chargement du système d’exploitation et ceci malgré les mécanismes de sécurité existants, notamment UEFI Secure Boot. Ces malwares seraient facilement bloqués par ces mécanismes s’ils étaient activés et configurés correctement" ajoute M. Smolár.

ESET décrit en détail le fonctionne de ESPecter dans un billet technique très intéressant : UEFI threats moving to the ESP: Introducing ESPecter bootkit