16/12/2024

Actu Cybersécurité

Le groupe Lazarus a exploité une faille dans un pilote Dell pour déployer un rootkit

En 2021, le groupe de cybercriminels Lazarus a utilisé une tactique d'attaque qui s'appuyait sur une vulnérabilité dans un firmware Dell pour déployer un rootkit sur Windows. Pour rappel, il s'agit d'un groupe sponsorisé par la Corée du Nord.

Les chercheurs en sécurité de chez ESET ont découvert et analysé des outils malveillants utilisés par le groupe de pirates Lazarus pendant l'automne 2021. Basée sur des e-mails aux couleurs d'Amazon, cette campagne du groupe Lazarus a ciblé un employé d'une entreprise néerlandaise spécialisée dans l'aérospatial, ainsi qu'un journaliste politique belge. Cette campagne est associée au nom "Bring Your Own Vulnerable Driver".

Dans ce rapport publié par ESET, on apprend que l'un de ces outils exploite la vulnérabilité CVE-2021-21551 qui affecte le pilote DBUtil, lié directement au BIOS (firmware) des machines Dell. Cette faille de sécurité a été corrigée par Dell en mai 2021 (voir cet article : Dell - 5 vulnérabilités découvertes dans le pilote DBUtil, utilisé depuis 2009).

En exploitant cette faille de sécurité avec leur outil FudModule, les cybercriminels du groupe Lazarus sont en mesure de désactiver toutes les fonctionnalités de protection de la machine Windows  compromise. Les chercheurs d'ESET précisent : "Il utilise des techniques contre les mécanismes du noyau de Windows qui n'ont jamais été observées dans un logiciel malveillant auparavant." - Un rootkit particulièrement redoutable, même si l'exploitation de vulnérabilités dans les pilotes et les firmwares n'est pas nouvelle en soi.

Dans le cadre de cette campagne, le groupe Lazarus a utilisé d'autres outils malveillants, notamment leur porte dérobée "HTTPS" surnommée "BLINDINGCAN" (connue aussi sous les noms AIRDRY et ZetaNile). Grâce à elle, le pirate peut contrôler un système précédemment compromis, car elle lui sert de point de connexion.

Les différents outils et techniques utilisées par le groupe Lazarus montrent une nouvelle fois qu'ils sont bien organisés, et qu'ils sont agissent dans trois domaines de la cybersécurité : la recherche du gain financier, le cyber-espionnage et le cyber-sabotage.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.