Les chercheurs e l'éditeur de solutions de sécurité ESET ont identifié une cyberattaque au cours de laquelle les attaquants ont eu recourt à un rootkit UEFI pour s’assurer une présence durable sur l’ordinateur de la victime.

Baptisé LoJax par ESET, ce rootkit fait partie d’une campagne orchestrée par le groupe Sednit contre des cibles VIP en Europe Centrale et en Europe de l’Est. Il s’agit de la toute première attaque de ce type rendue publique, selon ESET.

« Nous savions déjà que les rootkits UEFI pouvaient exister... en théorie ! Mais notre découverte confirme désormais qu’ils sont une réalité opérationnelle pour au moins un groupe d’attaquants. Ils représentent donc une vraie menace et non plus simplement un sujet intéressant pour les conférences de sécurité ! », explique Jean-Ian Boutin, le chercheur en cybersécurité qui a dirigé chez ESET le projet de recherche sur LoJax et la campagne du groupe Sednit.

Les rootkits UEFI sont des outils extrêmement dangereux, car ils offrent à l’attaquant un contrôle total sur l’ordinateur de la victime et sont difficiles à détecter. Ils sont en outre capables de résister aux contre-mesures habituelles (et pourtant radicales !) que sont la réinstallation du système d’exploitation et même, dans certains cas, le remplacement complet du disque dur.

En outre, nettoyer un système infecté par un rootkit UEFI exige des connaissances techniques hors de portée du commun des utilisateurs, comme par exemple de savoir re-flasher un firmware.

Sednit, aussi connu sous les noms de APT28, STRONTIUM, Sofacy ou Fancy Bear, est l’un des groupes APT les plus actifs du moment et opère depuis au moins 2004. Il est soupçonné d’être à l’origine du piratage du comité national démocrate américain dans le cadre des élections présidentielles américaines de 2016, du piratage de TV5 Monde, de la fuite des emails de l’Agence mondiale antidopage (AMA), et de bien d’autres encore.

Ce groupe dispose d’un arsenal de codes malveillants très complet, dont plusieurs sont documentés par les chercheurs d’ESET dans le livre blanc qu’ils ont consacré au groupe, ainsi que dans le cadre de nombreuses publications sur le blog WeLiveSecurity.