Les chercheurs de Kaspersky pensent que MoonBounce est exploité par APT41. Aussi appelé Winnti, il s’agit d’un groupe de hackers chinois connu pour ses attaques sur les chaînes d’approvisionnement en logiciels (CCleaner, Asus) et actif depuis au moins une décennie.
Un micrologiciel de pointe
MoonBounce serait l’implant de micrologiciel UEFI “le plus avancé” découvert à ce jour, selon des analystes en sécurité. L’UEFI, pour “Unified Extensible Firmware Interface”, est une spécification technique qui aide les systèmes d’exploitation et les micrologiciels à s’interfacer dans les ordinateurs. En clair, il s’agit d’un logiciel de bas niveau qui se lance dès que l’utilisateur démarre son PC. Il remplace le BIOS sur les cartes mères des ordinateurs depuis 2012.
Mais attention, les pirates informatiques ont trouvé un moyen d’implanter un code malveillant dans ce microprogramme, le “UEFI bootkit”. Une manipulation qui leur permet de s’immiscer dans un PC, tant en restant cachés des antivirus et de tout outil de sécurité fonctionnant au niveau du système d’exploitation.
Pour se camoufler, ces outils détournent la séquence de démarrage et s’initialisent avant les composants de sécurité du système d’exploitation. Le plus souvent, ils se nichent dans des zones qui ne peuvent pas être effacées. Par exemple, dans le cas MoonBounce, l’emplacement d’implantation se trouve sur la mémoire flash SPI de la carte mère. Un emplacement qui le rend invincible, même en cas de remplacement du disque dur.
Le malware MoonBounce
Dans MoonBounce, le code malveillant est intégré dans un module de firmware existant (CORE_DXE). Il est donc subtil et difficile à détecter. Une fois infecté, le système se retrouve complètement sous le contrôle des pirates.
Au moment du démarrage du PC, MoonBounce créé un pilote malveillant dans l’espace mémoire du noyau Windows. Une première étape qui permet aux pirates d’injecter des logiciels malveillants dans le processus système svchost.exe (Processus hôte pour les services Windows). Autrement dit, dès que l’ordinateur démarre, MoonBounce s’est déjà niché et fonctionne en arrière-plan.
ous recherchez une nouvelle Batterie Ordinateur Portable Acer ? Les Batterie pour Acer sont connus pour leur excellent rapport qualité-prix. Cons