Kaspersky a découvert un nouveau logiciel espion, MosaicRegressor, construit à partir du code fuité d’un logiciel du célèbre groupe Hacking Team. Sa force ? Il se réinstalle en toute discrétion même si le disque dur est effacé ou changé.

En 2015,  un hacker œuvrant sous le pseudonyme « Phineas Fisher » publiait 400 Go de données appartenant à Hacking Team. Cette entreprise italienne s’était fait connaître avec ses logiciels d’espionnages, vendus à des gouvernements et autres organisations privées. Dans la fuite se trouvait, aux côtés d’emails et de fichiers clients de l’entreprise, le code de certains de ces outils. Des indications suffisantes pour que d’autres hackers puissent les recréer.

5 ans après cette célèbre fuite, l’entreprise de cybersécurité Kaspersky a repéré sur l’ordinateur de deux de ses clients — des diplomates asiatiques — des traces d’un logiciel espion similaire à VectorEDK, un des outils de la gamme de Hacking Team destiné aux ordinateurs.

newpsp.jpg

Même si vous changez le disque dur de l’ordinateur, le logiciel espion se réinstallera. // Source : Louise Audry pour Numerama

La source du logiciel espion est en dehors du disque dur

Ce nouveau logiciel espion modifie l’UEFI, une interface qui fait le lien entre le firmware (une couche logicielle profonde, en charge du fonctionnement des composants matériels) et le système d’exploitation de l’ordinateur (Windows, MacOS, Linux). L’UEFI est stockée sur une puce de la carte mère, et non sur son disque dur, comme le système d’exploitation, qu’elle sert d’ailleurs à faire démarrer.

Cette particularité, relevée par Wired, va permettre au logiciel espion de résister aux mesures classiques prises contre les malwares. Le plus souvent, les antivirus se contentent de scanner les informations stockées sur le disque dur. Et en cas d’infection, il suffit d’effacer le disque dur et d’y réinstaller le système d’exploitation pour se débarrasser du malware. Dans le pire des cas, le disque dur peut même être changé.

Mais le nouveau logiciel espion ne sera pas supprimé, même dans ce cas extrême. Il va utiliser sa position sur l’UEFI comme une porte dérobée pour installer sur le disque dur un autre code malveillant, au fonctionnement plus commun, nommé MosaicRegressor par Kaspersky.

C’est ce code qui va déployer les fonctionnalités d’espionnage, et qui pourra être supprimé par le propriétaire de l’ordinateur. Mais c’est bien la première partie du logiciel, qui se sert de l’UEFI pour installer MosaicRegressor, qui va le rendre particulièrement virulent et tenace, puisqu’elle permettra de faire le réinstaller en boucle, discrètement.

Mystère sur le mode de contamination

En plus des deux ordinateurs de diplomates asiatiques qu’il a regardés de près, Kaspersky a trouvé des traces de MosaicRegressor sur les ordinateurs de diplomates et d’employés d’ONG en Afrique, en Asie et en Europe. Leur point commun : tous travaillent sur des sujets liés à la Corée du Nord.

Les chercheurs ont attribué l’usage du nouveau logiciel espion à des hackers chinois, car c’est la langue prédominante dans son code, mais ils n’ont pas assez d’indicateurs pour le lier à un groupe en particulier.

Reste un mystère dans l’affaire : les chercheurs ne savent pas comment les pirates ont modifié l’UEFI des ordinateurs. Les hackers peuvent utiliser des emails de phishing personnalisés sur les questions liées à la Corée du Nord pour déployer directement MosaicRegressor. Mais ils ne peuvent pas utiliser ce biais pour modifier une couche aussi profonde que l’UEFI afin d’installer la porte dérobée…

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !