Au cours des deux derniers mois seulement, le botnet contrôlé par les cybercriminels connu sous le nom de TrickBot est devenu, par certaines mesures, l’ennemi public numéro un pour la communauté de la cybersécurité Il a survécu aux tentatives de retrait de Microsoft, d’un super-groupe de sociétés de sécurité et même de US Cyber ​​Command Il semble maintenant que les pirates derrière TrickBot essaient une nouvelle technique pour infecter les recoins les plus profonds des machines infectées, allant au-delà de leurs systèmes d’exploitation et dans leur firmware.

Les sociétés de sécurité AdvIntel et Eclypsium ont révélé aujourd’hui qu’elles avaient repéré un nouveau composant du cheval de Troie utilisé par les pirates TrickBot pour infecter les machines Le module précédemment non découvert vérifie les vulnérabilités des ordinateurs victimes qui permettraient aux pirates de planter une porte dérobée dans un code profond connu sous le nom d’interface de micrologiciel extensible unifiée, qui est responsable du chargement du système d’exploitation d’un appareil lors du démarrage. Parce que l’UEFI se trouve sur une puce sur la carte mère de l’ordinateur en dehors de son disque dur, y planter un code malveillant permettrait à TrickBot d’échapper à la plupart des détections antivirus, des mises à jour logicielles, ou même un effacement total et une réinstallation du système d’exploitation de l’ordinateur Il pourrait également être utilisé pour “brique” les ordinateurs cibles, corrompant leur micrologiciel au point que la carte mère aurait besoin d’être remplacée

L’utilisation de cette technique par les opérateurs TrickBot, que les chercheurs appellent “TrickBoot”, fait du groupe de hackers l’un des rares – et le premier qui n’est pas parrainé par l’État – à avoir expérimenté la nature avec des logiciels malveillants ciblés par l’UEFI, déclare Vitali Kremez, chercheur en cybersécurité pour AdvIntel et PDG de la société Mais TrickBoot représente également un nouvel outil insidieux entre les mains d’un groupe effronté de criminels – un qui a déjà utilisé sa présence au sein d’organisations pour planter des ransomwares et s’est associé à des pirates nord-coréens axés sur le vol. «Le groupe recherche de nouvelles façons d’obtenir une persistance très avancée sur les systèmes, de survivre à toutes les mises à jour logicielles et de pénétrer au cœur du micrologiciel», déclare Kremez S’ils parviennent à pénétrer le micrologiciel d’une machine victime, ajoute Kremez, “les possibilités sont infinies, de la destruction à la prise de contrôle essentiellement complète du système.”

Alors que TrickBoot recherche un UEFI vulnérable, les chercheurs n’ont pas encore observé le code réel qui le compromettrait Kremez pense que les pirates ne téléchargent probablement une charge utile de piratage de micrologiciel que sur certains ordinateurs vulnérables une fois qu’ils sont identifiés “Nous pensons qu’ils ont sélectionné à la main des cibles d’intérêt de grande valeur”, dit-il.

Les pirates derrière TrickBot, généralement considérés comme basés en Russie, ont acquis la réputation de faire partie des pirates informatiques les plus dangereux sur Internet. Leur botnet, qui à son apogée comprenait plus d’un million de machines asservies, a été utilisé pour implanter des ransomwares comme Ryuk et Conti dans les réseaux d’innombrables victimes, y compris des hôpitaux et des centres de recherche médicale. Le botnet était considéré comme suffisamment menaçant pour que deux opérations distinctes aient tenté de le perturber en octobre: ​​l’une, menée par un groupe de sociétés comprenant Microsoft, ESET, Symantec et Lumen Technologies, a cherché à utiliser des ordonnances judiciaires pour couper les connexions de TrickBot aux États-Unis. serveurs de commande et de contrôle basés Une autre opération simultanée de US Cyber ​​Command a essentiellement piraté le botnet, envoyant de nouveaux fichiers de configuration à ses ordinateurs compromis conçus pour les couper des opérateurs TrickBot On ne sait pas dans quelle mesure les pirates ont reconstruit TrickBot, bien qu’ils aient ajouté au moins 30000 victimes à leur collection depuis lors en compromettant de nouveaux ordinateurs ou en achetant l’accès à d’autres pirates, selon la société de sécurité Hold Security

Kremez d’AdvIntel a découvert la nouvelle fonctionnalité de TrickBot, axée sur le micrologiciel, dont la conception modulaire lui permet de télécharger de nouveaux composants à la volée vers les ordinateurs victimes dans un échantillon du logiciel malveillant à la fin octobre, juste après les deux tentatives d’opérations de retrait Il pense que cela pourrait faire partie d’une tentative des opérateurs de TrickBot de prendre pied qui puisse survivre sur les machines cibles malgré la notoriété croissante de leurs logiciels malveillants dans le secteur de la sécurité. «Parce que le monde entier regarde, ils ont perdu beaucoup de robots», dit Kremez «Leurs logiciels malveillants doivent donc être furtifs, et c’est pourquoi nous pensons qu’ils se sont concentrés sur ce module”

Après avoir déterminé que le nouveau code visait à l’ingérence du micrologiciel, Kremez a partagé le module avec Eclypsium, spécialisé dans la sécurité du micrologiciel et de la microarchitecture Les analystes d’Eclypsium ont déterminé que le nouveau composant trouvé par Kremez ne modifiait pas réellement le micrologiciel d’un PC victime lui-même, mais recherchait plutôt une vulnérabilité commune dans les UEFI Intel. Les fabricants de PC qui implémentent le micrologiciel UEFI d’Intel ne définissent souvent pas certains bits de ce code conçus pour éviter qu’il ne soit falsifié Eclypsium estime que le problème de configuration persiste dans des dizaines de millions, voire des centaines de millions de PC “Ils sont capables de regarder et d’identifier, OK, c’est une cible que nous allons pouvoir faire cette attaque basée sur un firmware plus invasive ou plus persistante”, déclare Jesse Michaels, chercheur principal d’Eclypsium “Cela semble précieux pour ce type de campagne généralisée où leurs objectifs spécifiques peuvent être les ransomwares, les systèmes de briques, la capacité de persister dans les environnements.”

Eclypsium et AdvIntel affirment que TrickBot a probablement déjà modifié le firmware de certaines victimes, même s’il ne l’a pas observé directement «Ce serait littéralement un changement d’un octet ou d’une ligne pour, par exemple, effacer le flash ou écrire sur le flash au lieu de simplement lire le flash», explique Michaels, faisant référence à la puce flash SPI qui stocke un ordinateur. UEFI

Pour les victimes potentielles de TrickBot, la lutte contre sa technique de piratage du micrologiciel exigera une nouvelle attention aux composants informatiques vulnérables qui sont souvent ignorés Eclypsium et AdvIntel conseillent aux entreprises de vérifier le micrologiciel de leur PC pour déterminer s’il est vulnérable, de mettre à jour leur micrologiciel lorsque les fournisseurs mettent un nouveau code disponible et, peut-être plus important encore, de vérifier si le micrologiciel de leur PC est falsifié dans le cadre de leur réponse à toute infection TrickBot détectée.

Le piratage de micrologiciels est déjà apparu dans la nature, utilisé par des pirates informatiques parrainés par l’État de la CIA à l’équipe russe de Fancy Bear à un groupe chinois probable qui a réutilisé un outil d’espionnage de micrologiciel créé par la société de piratage informatique Hacking Team Mais Eclypsium et AdvIntel affirment que l’apparition de TrickBoot signifie que le piratage de micrologiciels passe des attaques ciblées parrainées par l’État à un piratage criminel beaucoup moins discriminatoire et axé sur le profit. Et cela signifie qu’un vaste nouvel ensemble de victimes potentielles doit commencer à être vigilant sur le micrologiciel de leur PC

“Vous avez tous ces éléments dans votre environnement en tant qu’entreprise”, déclare Scott Scheferman, chercheur en cybersécurité chez Eclypsium, “et la probabilité que vous soyez infecté par TrickBot au cours des trois prochains mois est très élevée Il est donc temps de vraiment, réellement commencer à prêter attention”

WIRED est l’endroit où demain se réalise C’est la source essentielle d’informations et d’idées qui donnent du sens à un monde en constante transformation La conversation WIRED illustre comment la technologie change tous les aspects de notre vie – de la culture aux affaires, de la science au design Les percées et innovations que nous découvrons mènent à de nouvelles façons de penser, de nouvelles connexions et de nouvelles industries

© 2020 Condé Nast Tous les droits sont réservés L’utilisation de ce site implique l’acceptation de notre accord d’utilisation (mis à jour le 1/1/20) et de notre politique de confidentialité et de notre déclaration sur les cookies (mis à jour le 1/1/20) et de vos droits de confidentialité en Californie Wired peut gagner une partie des ventes de produits achetés sur notre site dans le cadre de nos partenariats d’affiliation avec des détaillants Le contenu de ce site ne peut être reproduit, distribué, transmis, mis en cache ou autrement utilisé, sauf avec l’autorisation écrite préalable de Condé Nast Choix des annonces

Ordinateur, sécurité informatique, BIOS, micrologiciel, interface de micrologiciel extensible unifiée

Actualités – FR – Le botnet le plus célèbre d’Internet a une nouvelle astuce alarmante

Source: https://www.wired.com/story/trickbot-botnet-uefi-firmware/

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/