Les experts de Kaspersky Lab ont analysé le module de persistance d’Equation

CANCUN – Les noms défilent à l’écran : Samsung, Seagate, Western Digital, Hitachi, Maxtor. Ces fabricants ont été pris pour cible par le groupe APT Equation et il s’agit probablement du pire scénario que les chercheurs auraient pu imaginer lorsque l’on connaît l’ampleur des possibilités effrayantes de cette plateforme malveillante.

Une fois qu’il a établi sa présence dans le micrologiciel du disque dur, ce groupe d’espionnage peut compter sur l’infection perpétuelle des ordinateurs. Rien ne peut éliminer le module nls_933w.dll du matériel.

"C’est le mécanisme de persistance idéal et il bénéficie d’une résistance absolue à la suppression. Il a atteint un niveau de persistance jamais vu jusqu’ici" a déclaré Vitaly Kamliuk, analyste antivirus principal de l’équipe GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab avant d’ajouter : "Ce cas est unique et c’est la première fois que nous observons un tel niveau de complexité de la part d’individus malintentionnés évolués".

Lors d’une présentation donnée lundi dans le cadre d’une conférence sur la sécurité de l’information, Vitaly Kamliuk a désigné ce module comme l’outil idéal pour organiser des cyberattaques. Il représente la pierre angulaire du groupe Equation, actif depuis 15 ans, dont l’implication dans Stuxnet et Flame a été établie par Kaspersky Lab. L’arsenal d’Equation contient plusieursš codes d’exploitation de vulnérabilités de type 0jour qui ont été utilisés dans le cadre de campagnes d’espionnage menées contre des cibles importantes telles que des organismes publics, des ambassades ou des sociétés du secteur de l’énergie et des télécommunications, principalement en Russie, en Syrie, en Iran et au Pakistan.

Vitaly Kamliuk indique toutefois que le module de persistance d’Equation est rarement déployé.

"Il est réservé à quelques victimes sélectionnées. C’est un des modules les plus rares que j’ai rencontré. Sa valeur est telle que ses opérateurs évitent de l’exposer. Ce module possède une grande valeur et il est utilisé uniquement dans des cas particuliers contre des personnalités très importantes" explique Vitaly Kamliuk.

Sa tâche principale consiste à garantir la persistance de l’infection et il remplit cette fonction avec brio. D’après Kamliuk, ce module est probablement toujours en circulation.

"La détection de ce module est très difficile. Elle est même carrément impossible au niveau logiciel" explique Vitaly Kamliuk. Il faut démonter l’ordinateur, extraire le disque dur et l’envoyer à un expert pour analyse. Ceci étant dit, nous estimons que le nombre de personnes capables d’analyser, de comparer et d’identifier ce code malveillant dans le micrologiciel est très restreint. Cette tâche requiert un spécialiste très rare en la matière."

Le rapport sur Equation fournit des explications sur deux fonctions de ce module : la reprogrammation du micrologiciel du disque dur et la garantie de l’accès aux secteurs cachés du disque dur. Non seulement il confère aux individus malintentionnés une présence perpétuelle qui survit au formatage du disque et à la réinstallation du système d’exploitation, mais il leur donne également un référentiel de données introuvable à l’intérieur du disque dur.

"Ce module est un excellent avant-goût de leurs capacités" a déclaré Vitaly Kamliuk.

Il a expliqué que nls_933w.dll contient un pilote qui installe le malware. D’après Vitaly Kamliuk, ce pilote interagit avec le disque dur au niveau du noyau.

"Le problème n’est pas tellement la sophistication du code  ; il utilise des séquences déterminées de commandes ATA pour interagir avec le disque dur, mais nous n’avons vu aucune partie complexe. Il s’agit avant tout de la reprogrammation du micrologiciel" a annoncé Vitaly Kamliuk. Il faut des années pour maîtriser l’écriture d’un micrologiciel. Nous évaluons le degré de complexité simplement en voyant ce dont ils sont capables, mais nous ne disposons pas du micrologiciel".

Vitaly Kamliuk explique que le groupe Equation n’exploite pas une vulnérabilité dans le sens traditionnel du terme, mais plutôt une particularité de la conception des disques durs qui permet aux fabricants de mettre les micrologiciels à jour.

"Ils ont laissé une porte ouverte, et ce depuis de nombreuses années. Mais il faut posséder une description complète du micrologociel actuel du disque dur et savoir comment il fonctionne. Il faut également savoir comment écrire et interagir avec le matériel pour déployer le nouveau code. La tâche est très complexe et requiert des connaissances exclusives sur la manière dont l’ensemble est configuré."

Vitaly Kamliuk suppose que les individus malintentionnés ont eu accès aux documents et aux manuels internes de chacun des fabricants cités. Ces documents ont probablement été volés par un complice ou suite à une attaque malveillante distincte.

"Ils n’ont pas exploité une erreur de codage. Il s’agit d’une faille de conception" déclare Vitaly Kamliuk.

Lorsque les experts de Kaspersky Lab ont commencé à étudier Equation, ils ont découvert des centaines de fichiers et de plug-ins et ce module en particulier a été repéré grâce à des lignes dans le code qui citaient différents fabricants de disques durs.

"Il nous a fallu plusieurs mois pour analyser et comprendre ce que cela signifiait. Nous avons du étudier différentes commandes ATA et apprendre à écrire du code pour différents fabricants. Nous avons du étudier différents algorithmes et protocoles de communication exclusifs. Voilà pourquoi il nous a fallu tant de temps pour comprendre le rôle de ce module" a indiqué Vitaly Kamliuk.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *