Découvert par Kaspersky, Moonbounce se loge dans la mémoire de la carte mère, et il infecte l’ordinateur à chaque démarrage. Créé par des pirates chinois, il est utilisé pour accéder aux différents répertoires de l’ordinateur et du réseau pour en vider le contenu.
Si le processeur est le cœur de votre ordinateur, la carte mère en est le cerveau. C’est elle qui relie tous les composants entre eux, et il est possible aujourd’hui de la mettre à jour avec un nouveau firmware grâce à l’Uefi , un micro-logiciel bien plus évolué que l’antique Bios . Ce qui signifie que l’on peut installer la mise à jour sans système d’exploitation, et donc apporter de nouvelles fonctions à sa carte mère, ou appliquer des correctifs. Mais, comme tout bon programme qui se met à jour, c’est aussi la porte ouverte à des piratages…
Un « implant » impossible à supprimer
Ce qui signifie qu’il est actif en permanence, et qu’un formatage du disque dur ne suffit pas pour l’éliminer, et qu’un antivirus ne peut pas le nettoyer ! Baptisé MoonBounce, cet « implant » permet aux pirates d’installer ensuite des logiciels malveillants, comme un cheval de Troie, en profitant de la connexion à Internet. Tout se fait en arrière-plan, sans que l’utilisateur ne puisse s’en rendre compte, et ça ne laisse aucune trace sur le disque dur puisque les malwares fonctionnent uniquement dans la mémoire vive.
Un malware venu de Chine
C’est en analysant les logiciels installés par ce virus que Kaspersky pense en avoir identifié les responsables. Ils ont ainsi reconnu la « signature » de APT41, un groupe de pirates chinois, tristement célèbre depuis 2014 pour ses attaques aussi sophistiquées que redoutables. Le malware initial combine ses attaques à des logiciels malveillants habituellement utilisés par cette entité, et le but est de prendre le contrôle de l’ordinateur pour en extraire des données privées.