Les chercheurs d’ESET ont identifié une cyberattaque au cours de laquelle les attaquants ont eu recourt à un rootkit UEFI pour s’assurer une présence durable sur l’ordinateur de la victime. Baptisé LoJax par ESET, ce rootkit fait partie d’une campagne orchestrée par le groupe Sednit contre des cibles VIP en Europe Centrale et en Europe de l’Est. «Ils représentent donc une vraie menace et non plus simplement un sujet intéressant pour les conférences de sécurité ! », explique Jean-Ian Boutin, le chercheur en cybersécurité qui a dirigé chez ESET le projet de recherche sur LoJax et la campagne du groupe Sednit. Les rootkits UEFI sont en outre capables de résister aux contre-mesures habituelles que sont la réinstallation du système d’exploitation et même, dans certains cas, le remplacement complet du disque dur.

Sednit, aussi connu sous les noms de APT28, STRONTIUM, Sofacy ou Fancy Bear, est l’un des groupes APT les plus actifs du moment et opère depuis au moins 2004. Il est soupçonné d’être à l’origine du piratage du comité national démocrate américain dans le cadre des élections présidentielles américaines de 2016, du piratage de TV5 Monde, de la fuite des emails de l’Agence mondiale antidopage , et de bien d’autres encore. Ce groupe dispose d’un arsenal de codes malveillants très complet, dont plusieurs sont documentés par les chercheurs d’ESET dans le livre blanc qu’ils ont consacré au groupe, ainsi que dans le cadre de nombreuses publications sur le blog WeLiveSecurity. La découverte de ce tout premier rootkit UEFI opérationnel doit alerter les utilisateurs et les entreprises, et leur faire réaliser qu’ils ne peuvent désormais plus ignorer les risques liés à la modification des firmwares. 


ESET est a se jours le seul, parmi les grands éditeurs de solutions de sécurité pour les postes de travail, à offrir une couche de protection dédiée à ce type d’attaque. ESET UEFI Scanner est conçu en effet pour détecter les composants malveillants au sein des firmwares PC.
«*Grâce à UEFI Scanner de ESET , nos clients, particuliers comme entreprises, seront mieux en mesure de détecter ce type d’attaque et de s’en protéger*» conclut Juraj Malcho, CTO de chez ESET.


ici la source et Qu'en pensez-vous ?.