Au cours des deux derniers mois seulement, le botnet contrôlé par les cybercriminels connu sous le nom de TrickBot est devenu, par certaines mesures, l’ennemi public numéro un pour la communauté de la cybersécurité Il a survécu aux tentatives de retrait de Microsoft, d’un super-groupe de sociétés de sécurité et même de US Cyber ​​Command Il semble maintenant que les pirates derrière TrickBot essaient une nouvelle technique pour infecter les recoins les plus profonds des machines infectées, allant au-delà de leurs systèmes d’exploitation et dans leur firmware.

Les sociétés de sécurité AdvIntel et Eclypsium ont révélé aujourd’hui qu’elles avaient repéré un nouveau composant du cheval de Troie utilisé par les pirates TrickBot pour infecter les machines Le module précédemment non découvert vérifie les vulnérabilités des ordinateurs victimes qui permettraient aux pirates de planter une porte dérobée dans un code profond connu sous le nom d’interface de micrologiciel extensible unifiée, qui est responsable du chargement du système d’exploitation d’un appareil lors du démarrage. Parce que l’UEFI se trouve sur une puce sur la carte mère de l’ordinateur en dehors de son disque dur, y planter un code malveillant permettrait à TrickBot d’échapper à la plupart des détections antivirus, des mises à jour logicielles, ou même un effacement total et une réinstallation du système d’exploitation de l’ordinateur Il pourrait également être utilisé pour “brick” les ordinateurs cibles, corrompant leur micrologiciel au point que la carte mère aurait besoin d’être remplacée

L’utilisation de cette technique par les opérateurs TrickBot, que les chercheurs appellentTrickBoot”, fait du groupe de hackers l’un des rareset le premier qui n’est pas parrainé par l’Étatà avoir expérimenté la nature avec des logiciels malveillants ciblés par l’UEFI, déclare Vitali Kremez, chercheur en cybersécurité pour AdvIntel et PDG de la société Mais TrickBoot représente également un nouvel outil insidieux entre les mains d’un groupe effronté de criminelsun qui a déjà utilisé sa présence au sein d’organisations pour planter des ransomwares et s’est associé à des pirates nord-coréens axés sur le vol. «Le groupe recherche de nouvelles façons d’obtenir une persistance très avancée sur les systèmes, de survivre à toutes les mises à jour logicielles et de pénétrer au cœur du micrologiciel», déclare Kremez S’ils parviennent à pénétrer le micrologiciel d’une machine victime, ajoute Kremez, “the possibilities are limitless, de la destruction à la prise de contrôle essentiellement complète du système.

Alors que TrickBoot recherche un UEFI vulnérable, les chercheurs n’ont pas encore observé le code réel qui le compromettrait Kremez pense que les pirates ne téléchargent probablement une charge utile de piratage de micrologiciel que sur certains ordinateurs vulnérables une fois qu’ils sont identifiésNous pensons qu’ils ont sélectionné à la main des cibles d’intérêt de grande valeur”, he says.

Les pirates derrière TrickBot, généralement considérés comme basés en Russie, ont acquis la réputation de faire partie des pirates informatiques les plus dangereux sur Internet. Leur botnet, qui à son apogée comprenait plus d’un million de machines asservies, a été utilisé pour implanter des ransomwares comme Ryuk et Conti dans les réseaux d’innombrables victimes, y compris des hôpitaux et des centres de recherche médicale. Le botnet était considéré comme suffisamment menaçant pour que deux opérations distinctes aient tenté de le perturber en octobre: ​​l’une, menée par un groupe de sociétés comprenant Microsoft, ESET, Symantec et Lumen Technologies, a cherché à utiliser des ordonnances judiciaires pour couper les connexions de TrickBot aux États-Unis. serveurs de commande et de contrôle basés Une autre opération simultanée de US Cyber ​​Command a essentiellement piraté le botnet, envoyant de nouveaux fichiers de configuration à ses ordinateurs compromis conçus pour les couper des opérateurs TrickBot On ne sait pas dans quelle mesure les pirates ont reconstruit TrickBot, bien qu’ils aient ajouté au moins 30000 victimes à leur collection depuis lors en compromettant de nouveaux ordinateurs ou en achetant l’accès à d’autres pirates, selon la société de sécurité Hold Security

Kremez d’AdvIntel a découvert la nouvelle fonctionnalité de TrickBot, axée sur le micrologiciel, dont la conception modulaire lui permet de télécharger de nouveaux composants à la volée vers les ordinateurs victimes dans un échantillon du logiciel malveillant à la fin octobre, juste après les deux tentatives d’opérations de retrait Il pense que cela pourrait faire partie d’une tentative des opérateurs de TrickBot de prendre pied qui puisse survivre sur les machines cibles malgré la notoriété croissante de leurs logiciels malveillants dans le secteur de la sécurité. «Parce que le monde entier regarde, ils ont perdu beaucoup de robots», dit Kremez «Leurs logiciels malveillants doivent donc être furtifs, et c’est pourquoi nous pensons qu’ils se sont concentrés sur ce module

Après avoir déterminé que le nouveau code visait à l’ingérence du micrologiciel, Kremez a partagé le module avec Eclypsium, spécialisé dans la sécurité du micrologiciel et de la microarchitecture Les analystes d’Eclypsium ont déterminé que le nouveau composant trouvé par Kremez ne modifiait pas réellement le micrologiciel d’un PC victime lui-même, mais recherchait plutôt une vulnérabilité commune dans les UEFI Intel. Les fabricants de PC qui implémentent le micrologiciel UEFI d’Intel ne définissent souvent pas certains bits de ce code conçus pour éviter qu’il ne soit falsifié Eclypsium estime que le problème de configuration persiste dans des dizaines de millions, voire des centaines de millions de PCIls sont capables de regarder et d’identifier, OK, c’est une cible que nous allons pouvoir faire cette attaque basée sur un firmware plus invasive ou plus persistante”, déclare Jesse Michaels, chercheur principal d’EclypsiumCela semble précieux pour ce type de campagne généralisée où leurs objectifs spécifiques peuvent être les ransomwares, les systèmes de briques, la capacité de persister dans les environnements.

Eclypsium et AdvIntel affirment que TrickBot a probablement déjà modifié le firmware de certaines victimes, même s’il ne l’a pas observé directement «Ce serait littéralement un changement d’un octet ou d’une ligne pour, for example, effacer le flash ou écrire sur le flash au lieu de simplement lire le flash», explique Michaels, faisant référence à la puce flash SPI qui stocke un ordinateur. UEFI

Pour les victimes potentielles de TrickBot, la lutte contre sa technique de piratage du micrologiciel exigera une nouvelle attention aux composants informatiques vulnérables qui sont souvent ignorés Eclypsium et AdvIntel conseillent aux entreprises de vérifier le micrologiciel de leur PC pour déterminer s’il est vulnérable, de mettre à jour leur micrologiciel lorsque les fournisseurs mettent un nouveau code disponible et, peut-être plus important encore, de vérifier si le micrologiciel de leur PC est falsifié dans le cadre de leur réponse à toute infection TrickBot détectée.

Le piratage de micrologiciels est déjà apparu dans la nature, utilisé par des pirates informatiques parrainés par l’État de la CIA à l’équipe russe de Fancy Bear à un groupe chinois probable qui a réutilisé un outil d’espionnage de micrologiciel créé par la société de piratage informatique Hacking Team Mais Eclypsium et AdvIntel affirment que l’apparition de TrickBoot signifie que le piratage de micrologiciels passe des attaques ciblées parrainées par l’État à un piratage criminel beaucoup moins discriminatoire et axé sur le profit. Et cela signifie qu’un vaste nouvel ensemble de victimes potentielles doit commencer à être vigilant sur le micrologiciel de leur PC

Vous avez tous ces éléments dans votre environnement en tant qu’entreprise”, déclare Scott Scheferman, chercheur en cybersécurité chez Eclypsium, “et la probabilité que vous soyez infecté par TrickBot au cours des trois prochains mois est très élevée Il est donc temps de vraiment, réellement commencer à prêter attention

WIRED est l’endroit où demain se réalise C’est la source essentielle d’informations et d’idées qui donnent du sens à un monde en constante transformation La conversation WIRED illustre comment la technologie change tous les aspects de notre vie – from culture to business, from science to design The breakthroughs and innovations we discover are leading to new ways of thinking, new connections and new industries

© 2020 Condé Nast All rights reserved. Use of this site implies acceptance of our user agreement (Updated 1/1/20) and our privacy policy and cookie statement (Updated 1/1/20) and Your California Privacy Rights Wired may earn a portion of sales of products purchased from our site through our affiliate retailer partnerships Content on this site may not be reproduced, distributed, transmitted, cached or otherwise used, except with the prior written permission of Condé Nast Choice of Ads

Computer, IT security, BIOS, micrologiciel, interface de micrologiciel extensible unifiée

News – FR – Le botnet le plus célèbre d’Internet a une nouvelle astuce alarmante

Source: https://www.wired.com/story/trickbot-botnet-uefi-firmware/

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/