LoJax: ESET découvre le tout premier rootkit UEFI

Baptisé LoJax par ESET, ce rootkit fait partie d’une campagne orchestrée par le groupe Sednit. Il est extrêmement dangereux et coriace.

ESET lojax rookit uefi

LoJax, le rookit de la toute première attaque de ce type rendue publique

Les chercheurs de ESET, le spécialiste en sécurité informatique ont identifié une menace très dangereuse. Au cours d’une attaque contre des cibles VIP en Europe Centrale et en Europe de l’Est, ils ont pu s’apercevoir que les attaquants utilisés un rookit UEFI. Ils l’ont ainsi baptisé LoJax. Ce rookit assure une présence durable des attaquants sur l’ordinateur de la victime.

Jean-Ian Boutin, le chercheur en cybersécurité qui a dirigé chez ESET le projet de recherche sur LoJax et la campagne du groupe Sednit a indiqué:

« Nous savions déjà que les rootkits UEFI pouvaient exister… en théorie ! Mais notre découverte confirme désormais qu’ils sont une réalité opérationnelle pour au moins un groupe d’attaquants. Ils représentent donc une vraie menace et non plus simplement un sujet intéressant pour les conférences de sécurité ! »

Lojax, un rookit UEFI très coriace

Contre un malware, un virus, un trojan, nous avons l’habitude d’utiliser une solution de sécurité. Certains d’entre nous sont plus radicaux et réinstallent complètement le système. Pour LoJax, c’est inutile. Vous pouvez même changer de disque dur, cela n’aura aucun effet. En plus d’offrir un accès total à la machine, ce rootkit est quasiment indétectable. Pour nettoyer un machine  système infecté par un rootkit UEFI, il faut de solides connaissances techniques hors de portée des utilisateurs lambda. Il faut, par exemple de savoir re-flasher un firmware.

Sednit, aussi connu sous les noms de APT28, STRONTIUM, Sofacy ou Fancy Bear, est l’un des groupes les plus actifs du moment. Il opère depuis plus de 10 ans. Il est accusé entre autre chose, d’être à l’origine du piratage de TV5 Monde.

L’existence de LoJax et plus particulièrement de rookit UEFI doit permettre aux internautes et aux entreprises de prendre conscience des risques liés d’utiliser des firmwares modifiés.

ESET vous protège contre ce type d’attaque

Grâce à ESET UEFI Scanner vous êtes désormais en mesure de détecter les composants malveillants au sein des firmwares PC, mais aussi vous en protéger.

Si vous avez envie d’en savoir plus sur Lojax et sur ces rookit UEFI, je vous invite à consulter le livre blanc de ESET (anglais).

Il faut néanmoins relativiser par rapport à LoJax. L’utilisation de tels rookits UEFI est encore très rares et, jusqu’à présent, elle exigeait un accès physique à la machine de la victime. Néanmoins, en cas d’infection, la menace reste. L’ordinateur est totalement compris et sa persistance est quasi totale.

Soyez le premier à commenter

Laisser un commentaire