Les chercheurs de Kaspersky pensent que MoonBounce est exploit\u00e9 par APT41. Aussi appel\u00e9 Winnti, il s\u2019agit d\u2019un groupe de hackers chinois connu pour ses attaques sur les cha\u00eenes d\u2019approvisionnement en logiciels (CCleaner, Asus) et actif depuis au moins une d\u00e9cennie.<\/p>\n\n\n\n
Un micrologiciel de pointe
MoonBounce serait l\u2019implant de micrologiciel UEFI \u201cle plus avanc\u00e9\u201d d\u00e9couvert \u00e0 ce jour, selon des analystes en s\u00e9curit\u00e9. L\u2019UEFI, pour \u201cUnified Extensible Firmware Interface\u201d, est une sp\u00e9cification technique qui aide les syst\u00e8mes d\u2019exploitation et les micrologiciels \u00e0 s\u2019interfacer dans les ordinateurs. En clair, il s\u2019agit d\u2019un logiciel de bas niveau qui se lance d\u00e8s que l\u2019utilisateur d\u00e9marre son PC. Il remplace le BIOS sur les cartes m\u00e8res des ordinateurs depuis 2012.<\/p>\n\n\n\n
Mais attention, les pirates informatiques ont trouv\u00e9 un moyen d\u2019implanter un code malveillant dans ce microprogramme, le \u201cUEFI bootkit\u201d. Une manipulation qui leur permet de s\u2019immiscer dans un PC, tant en restant cach\u00e9s des antivirus et de tout outil de s\u00e9curit\u00e9 fonctionnant au niveau du syst\u00e8me d\u2019exploitation.<\/p>\n\n\n\n
Pour se camoufler, ces outils d\u00e9tournent la s\u00e9quence de d\u00e9marrage et s\u2019initialisent avant les composants de s\u00e9curit\u00e9 du syst\u00e8me d\u2019exploitation. Le plus souvent, ils se nichent dans des zones qui ne peuvent pas \u00eatre effac\u00e9es. Par exemple, dans le cas MoonBounce, l\u2019emplacement d\u2019implantation se trouve sur la m\u00e9moire flash SPI de la carte m\u00e8re. Un emplacement qui le rend invincible, m\u00eame en cas de remplacement du disque dur.<\/p>\n\n\n\n
Le malware MoonBounce
Dans MoonBounce, le code malveillant est int\u00e9gr\u00e9 dans un module de firmware existant (CORE_DXE). Il est donc subtil et difficile \u00e0 d\u00e9tecter. Une fois infect\u00e9, le syst\u00e8me se retrouve compl\u00e8tement sous le contr\u00f4le des pirates.<\/p>\n\n\n\n
Au moment du d\u00e9marrage du PC, MoonBounce cr\u00e9\u00e9 un pilote malveillant dans l\u2019espace m\u00e9moire du noyau Windows. Une premi\u00e8re \u00e9tape qui permet aux pirates d\u2019injecter des logiciels malveillants dans le processus syst\u00e8me svchost.exe (Processus h\u00f4te pour les services Windows). Autrement dit, d\u00e8s que l\u2019ordinateur d\u00e9marre, MoonBounce s\u2019est d\u00e9j\u00e0 nich\u00e9 et fonctionne en arri\u00e8re-plan.<\/p>\n\n\n\n