Les experts en sécurité affirment que les pirates russes préparent une nouvelle attaque, cette fois à l’aide d’un programme malveillant sophistiqué. La société de sécurité Internet ESET a présenté un rapport indiquant que le groupe de pirates russes Fancy Bear utilise des logiciels malveillants de type rootkit pour pirater les gouvernements. Cela les amène à penser que Fancy Bear, alias APT28, pourrait être une menace plus importante que prévu. Les experts en sécurité n’ont pas voulu préciser quels pays allaient être piratés. Ils ont toutefois mentionné que certains pays d’Europe centrale et orientale et les États des Balkans étaient visés. LoJax est le nom donné au logiciel malveillant.
Ce qu’il faut savoir sur le logiciel malveillant LoJax
LoJax est basé sur LoJack, un logiciel antivol. LoJack est controversé en raison de sa capacité à rester dans le système de l’utilisateur, même après la réinstallation d’un nouveau système d’exploitation. Arbor Networks avait découvert le composant LoJack utilisé par les pirates, au début de l’année 2018. Le serveur de commande et de contrôle hostile était contrôlé par Fancy Bear. Comme d’autres rootkits, LoJax s’embarque dans le firmware de l’utilisateur. Il commence à s’exécuter lorsque l’ordinateur est allumé.
Cela signifie que le logiciel malveillant s’est intégré à la mémoire flash et que son élimination complète relève du miracle. Après avoir examiné les rapports d’enquête internes, ESET a confirmé que les pirates avaient réussi « au moins une fois » à coder un programme vicieux dans la mémoire flash d’un ordinateur. L’entreprise de sécurité a fait remarquer qu’il était difficile de faire le lien avec d’autres programmes de piratage trouvés sur le système, mais qu’ils étaient couramment utilisés par Fancy Bear. Ces programmes comprenaient des outils de contournement de proxy et des scripts d’entrée par la porte dérobée.
Ces programmes sont généralement utilisés par les pirates pour rediriger les données du réseau vers et depuis des serveurs malveillants. ESET a déclaré pouvoir relier le logiciel malveillant à une architecture de réseau antérieure utilisée par le groupe de pirates avec la plus grande certitude.
Les experts en sécurité ont déclaré qu’il existe des contre-mesures pour prévenir de telles cyberattaques. Puisque le rootkit de Fancy Bear n’a pas de signature appropriée, la fonction de démarrage sécurisé d’un ordinateur pourrait empêcher l’exécution de logiciels malveillants en identifiant minutieusement chaque composant du processus de démarrage.
