ESpecter Bootkit plante des portes dérobées depuis 2012
ESpecter est un implant malveillant, qui a été identifié comme un bootkit. Bien que ce malware n'ait été identifié que récemment, il est actif depuis 2012 – cela montre à quel point il a la capacité d'être furtif. Bien sûr, sa capacité à éviter les outils de sécurité n'est pas la seule raison à cela - il n'a pas non plus été utilisé dans des attaques à grande échelle. Au lieu de cela, ses créateurs semblent avoir utilisé le bootkit ESpecter dans des attaques ciblées, avec un nombre très limité de victimes.
Au cours de la dernière décennie, des sections spécifiques d'ESspectre ont subi des modifications massives pour les rendre compatibles avec les systèmes informatiques actuels. Par exemple, les anciennes variantes fonctionnaient en infiltrant le BIOS et le Master Boot Record (MBR). Cependant, les systèmes contemporains utilisent l'interface de micrologiciel extensible unifiée (UEFI) avant de charger le système d'exploitation. C'est pourquoi la version ultérieure de ESpecter s'est concentrée sur l'infiltration du composant UEFI.
Quel logiciel malveillant le kit de démarrage ESpecter a-t-il déployé ?
En règle générale, les kits de démarrage sont utilisés en combinaison avec d'autres logiciels malveillants de grande envergure difficiles à détecter. Dans ces campagnes, les criminels utilisaient souvent une porte dérobée sur mesure que l'ESspectre chargeait automatiquement. Grâce à cette porte dérobée, les criminels pourraient voler des fichiers, enregistrer des frappes et exécuter des commandes à distance. Ces caractéristiques signifient probablement que le but des campagnes ESpecter était l'espionnage.
Une information intéressante sur l'attaque ESpecter est qu'elle ne fonctionne que sur les systèmes sur lesquels la fonction Secure Boot est désactivée. Cette fonctionnalité a été introduite dans Windows 8, de sorte que toutes les machines Windows exécutant Windows 8 ou une version plus récente peuvent être protégées contre ESpecter grâce à la fonctionnalité Secure Boot . Il n'y a pas assez d'informations sur les méthodes spécifiques utilisées pour implanter l'ESspectre sur les ordinateurs. Les experts suggèrent que les attaquants peuvent avoir eu un accès physique aux machines de leur victime, ou ils ont accès à des vulnérabilités inconnues dans les services UEFI.