L'UEFI en ligne de mire du maliciel Lojax

C’était fin 2014. Les travaux de plusieurs chercheurs mettaient en évidence le risque d’installation de maliciels furtifs persistants en s’appuyant sur le logiciel interne de démarrage des ordinateurs, l’UEFI. Un peu plus de deux ans plus tard, Intel invitait à vérifier l’intégrité de l’UEFI et de son prédécesseur, le Bios. Cette recommandation faisait suite à des révélations de Wikileaks sur des activités attribuées à l’agence américaine du renseignement, la NSA : selon celles-ci, l’agence se serait intéressée de près à la compromission des ordinateurs personnels au plus bas niveau, celui de leur firmware.

Le sujet est d’importance : ce type de maliciel résiste à la réinstallation du système d’exploitation comme au remplacement de disque dur. Mais jusqu’ici, aucun échantillon d’un tel maliciel n’avait été effectivement observé. D’où l’émoi provoqué par la découverte d’Eset : un rootkit, un maliciel hautement persistant et furtif, visant l’UEFI. Son nom ? Lojax.

S’il a ainsi été baptisé, c’est parce qu’il s’appuie sur une version modifiée de l’agent LoJack, cuvée 2008, d’Absolute Software, déjà observée au mois de mai par Arbor Networks. Celle-ci mettait à profit la structure modulaire de l’agent – précédemment connu sous le nom de Computrace – pour assurer sa persistance. Le sujet avait l’objet de travaux présentés en 2014. Absolute avait une bonne raison pour rendre son agent aussi persistant que possible : il s’agissait de permettre aux entreprises victimes de vols de retrouver les matériels qui leur avaient été dérobés.

Lojax s’appuie quant à lui sur un outil dédié à l’écriture d’une image malicieuse dans la mémoire flash SPI où se trouve le code UEFI/Bios. Cette image malicieuse a une fonction clé : installer le maliciel et s’assurer qu’il est exécuté au démarrage de la machine. La bonne nouvelle, est que le code UEFI malicieux n’est pas signé comme il le faudrait : l’activation du Secure Boot empêche le démarrage avec cette image compromise.

Comme Imperva avant lui, Eset pointe vers un acteur connu : APT28, aussi appelé Sednit, Pawn Storm, Sofacy ou encore Fancy Bear, et soupçonné d’être lié au renseignement russe. Avec Lojax, ce groupe viserait des organisations gouvernementales dans les Balkans, ainsi qu’en Europe centrale et de l’Est.

Made the UEFI backdoor into a Graph on VirusTotal Intelligence, also added in other data from other threat intel sources. Unfortunately hit my API limit again :D but found more stuff not in the ESET report https://t.co/FFfOeDvWiT pic.twitter.com/ZjwlFVMrxc

— Kevin Beaumont (@GossiTheDog) September 27, 2018

De son côté, l’expert Kevin Beaumont s’est penché sur les indicateurs de compromission. Selon ceux-ci, il semble que la majorité des systèmes infectés se trouvent en Pologne.

Le recours au graphique relationnel de VirusTotal lui a permis d’identifier des informations absentes du rapport d’Eset. Certaines méritent probablement une attention supplémentaire : les liens de similarité font ressortir des exécutables dont certains ont aujourd’hui plus de 10 ans.