ESPecter, un bootkit UEFI persistant découvert par les chercheurs d’ESET
Derrière le nom ESPecter, se cache un méchant bootkit UEFI persistant sur la partition système EFI (appelée aussi "ESP") découvert par les chercheurs de chez ESET. Jusqu'ici il était inconnu et pourtant il semble bien actif.
D'après les chercheurs de chez ESET, ESPecter serait utilisé pour réaliser de l'espionnage, car il est doté de capacités qui vont en ce sens : il est capable de voler des documents, de prendre des captures d'écran à intervalle régulier et d'enregistrer toutes les touches saisies au clavier. Ensuite, ses fonctions d'exfiltration automatiques permettent d'envoyer les informations récoltées.
Sous Windows, ESPecter va tromper le composant Microsoft Windows Driver Signature Enforcement pour charger son propre pilote non signé et être actif une fois le système démarré. Dès lors que la machine est infectée par ESPecter, cette infection devient persistante et se charge avant chaque démarrage du système, car ESPecter injecte une version modifiée de Windows Boot Manager (bootmgfw.efi).
Il agit comme un implant au sein du micrologiciel UEFI et il a besoin que le Secure Boot soit inactif pour obtenir la persistance sur la machine. Pour cela, l'attaquant peut utiliser plusieurs méthodes : réaliser une action physique sur la machine, exploiter une vulnérabilité connue ou inconnue publiquement pour bypasser le Secure Boot, ou tomber sur une machine où le Secure Boot est déjà inactif.
Pour le moment, il reste une inconnue : comment ESPecter fait-il pour arriver sur la machine et l'infecter.
Si l'on regarde le schéma ci-dessous, on peut voir que le bootkit ESPecter est capable de transférer son exécution pendant les différentes phases de démarrage du système Windows afin d'être actif une fois la machine complètement démarrée.
Grâce aux informations de télémétrie, ESET a pu retracer l'historique d'ESPecter. Il serait actif au moins depuis 2012 et à l'époque il s'attaquait à des machines équipées d'anciens BIOS. Ensuite, il a été mis à niveau en 2020 pour s'attaquer à l'UEFI des machines et les différences entre les deux versions seraient mineures.
Rendez-vous sur le blog We Live Security d'ESET pour lire l'analyse très complète au sujet d'ESPecter.