0

  • Votre panier est vide.

  • COMPTE

Le botnet le plus célèbre d’Internet a une nouvelle astuce alarmante

Certains articles de veille peuvent faire l'objet de traduction automatique.

Dans juste le ces deux derniers mois, le botnet contrôlé par les cybercriminels connu sous le nom de TrickBot est devenu, par certaines mesures, l’ennemi public numéro un de la communauté de la cybersécurité. Il a survécu aux tentatives de retrait de Microsoft, d’un super-groupe d’entreprises de sécurité et même de US Cyber ​​Command. Il semble maintenant que les pirates derrière TrickBot essaient une nouvelle technique pour infecter les recoins les plus profonds des machines infectées, allant au-delà de leurs systèmes d’exploitation et dans leur firmware.

Les sociétés de sécurité AdvIntel et Eclypsium ont révélé aujourd’hui qu’elles avaient repéré un nouveau composant du cheval de Troie que les pirates de TrickBot utilisent pour infecter les machines. Le module précédemment non découvert vérifie les vulnérabilités des ordinateurs victimes qui permettraient aux pirates de planter une porte dérobée dans un code profond connu sous le nom de Unified Extensible Firmware Interface, qui est responsable du chargement du système d’exploitation d’un périphérique lors de son démarrage. Parce que l’UEFI se trouve sur une puce sur la carte mère de l’ordinateur en dehors de son disque dur, y planter un code malveillant permettrait à TrickBot d’échapper à la plupart des détections antivirus, des mises à jour logicielles, ou même un effacement complet et une réinstallation du système d’exploitation de l’ordinateur. Il pourrait également être utilisé pour «brique» les ordinateurs cibles, corrompant leur micrologiciel dans la mesure où la carte mère aurait besoin d’être remplacée.

L’utilisation par les opérateurs de TrickBot de cette technique, que les chercheurs appellent «TrickBoot», fait du groupe de hackers l’un des rares – et le premier qui n’est pas sponsorisé par l’État – à avoir expérimenté dans la nature avec des logiciels malveillants ciblés par l’UEFI, déclare Vitali Kremez, chercheur en cybersécurité pour AdvIntel et PDG de l’entreprise. Mais TrickBoot représente également un nouvel outil insidieux entre les mains d’un groupe effronté de criminels – un outil qui a déjà utilisé sa présence au sein des organisations pour rançongiciel végétal et s’est associé à des pirates informatiques nord-coréens axés sur le vol. «Le groupe recherche de nouvelles façons d’obtenir une persistance très avancée sur les systèmes, de survivre à toutes les mises à jour logicielles et de pénétrer au cœur du micrologiciel», explique Kremez. S’ils parviennent à pénétrer le micrologiciel d’une machine victime, ajoute Kremez, « les possibilités sont infinies, de la destruction à la prise de contrôle du système ».

Alors que TrickBoot recherche un UEFI vulnérable, les chercheurs n’ont pas encore observé le code réel qui le compromettrait. Kremez pense que les pirates ne téléchargent probablement une charge utile de piratage de micrologiciel que sur certains ordinateurs vulnérables une fois qu’ils sont identifiés. «Nous pensons qu’ils ont sélectionné à la main des cibles d’intérêt de grande valeur», dit-il.

Les pirates derrière TrickBot, généralement considérés comme basés en Russie, ont acquis la réputation de faire partie des pirates informatiques les plus dangereux sur Internet. Leur botnet, qui à son apogée comprenait plus d’un million de machines asservies, a été utilisé pour implanter des ransomwares comme Ryuk et Conti dans les réseaux d’innombrables victimes, y compris des hôpitaux et des centres de recherche médicale. Le botnet était considéré comme suffisamment menaçant pour que deux opérations distinctes aient tenté de le perturber en octobre: ​​l’une, menée par un groupe de sociétés comprenant Microsoft, ESET, Symantec et Lumen Technologies, a cherché à utiliser des ordonnances judiciaires pour couper les connexions de TrickBot aux États-Unis. serveurs de commande et de contrôle basés sur. Une autre opération simultanée de US Cyber ​​Command a essentiellement piraté le botnet, envoyant de nouveaux fichiers de configuration à ses ordinateurs compromis conçus pour les couper des opérateurs TrickBot. On ne sait pas dans quelle mesure les pirates ont reconstruit TrickBot, bien qu’ils aient ajouté au moins 30000 victimes à leur collection depuis lors en compromettant de nouveaux ordinateurs ou en achetant l’accès à d’autres pirates, selon la société de sécurité Hold Security.

Kremez d’AdvIntel a découvert la nouvelle fonctionnalité de TrickBot axée sur le micrologiciel – dont la conception modulaire lui permet de télécharger de nouveaux composants à la volée sur les ordinateurs des victimes – dans un échantillon du malware à la fin octobre, juste après les deux tentatives de retrait. Il pense que cela pourrait faire partie d’une tentative des opérateurs de TrickBot de prendre pied qui puisse survivre sur les machines cibles malgré la notoriété croissante de leurs logiciels malveillants dans l’industrie de la sécurité. « Parce que le monde entier regarde, ils ont perdu beaucoup de robots », dit Kremez. « Leur malware doit donc être furtif, et c’est pourquoi nous pensons qu’ils se sont concentrés sur ce module. »

Après avoir déterminé que le nouveau code visait à l’ingérence du micrologiciel, Kremez a partagé le module avec Eclypsium, spécialisé dans la sécurité du micrologiciel et de la microarchitecture. Les analystes d’Eclypsium ont déterminé que le nouveau composant trouvé par Kremez ne modifiait pas réellement le micrologiciel d’un PC victime lui-même, mais recherchait plutôt une vulnérabilité commune dans les UEFI Intel. Les fabricants de PC qui implémentent le micrologiciel UEFI d’Intel ne définissent souvent pas certains bits de ce code conçus pour éviter qu’il ne soit falsifié. Eclypsium estime que le problème de configuration persiste dans des dizaines de millions, voire des centaines de millions de PC. « Ils sont capables de regarder et d’identifier, OK, c’est une cible sur laquelle nous allons pouvoir faire cette attaque basée sur un micrologiciel plus invasive ou plus persistante », déclare Jesse Michaels, chercheur principal d’Eclypsium. «Cela semble précieux pour ce type de campagne généralisée où leurs objectifs spécifiques peuvent être les ransomwares, les systèmes de briques, la capacité de persister dans les environnements.

Voir aussi :

décembre 3, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)