2020 est-elle l’année de la pandémie de malwares Linux?

Hibou Gourou

Sa réputation de sécurité signifie que Linux est souvent considéré comme moins vulnérable aux types de menaces qui affectent régulièrement les systèmes Microsoft Windows. Une grande partie de cette sécurité perçue provient du nombre relativement faible de systèmes Linux, mais les cybercriminels commencent-ils à voir la valeur du choix de la qualité plutôt que de la quantité ?

Le paysage des menaces Linux évolue

Les chercheurs en sécurité d'entreprises telles que Kaspersky et Blackberry, ainsi que des agences fédérales comme le FBI et la NSA, mettent en garde contre les auteurs de logiciels malveillants qui se concentrent davantage sur Linux.

Le système d'exploitation est désormais reconnu comme une passerelle vers des données précieuses telles que les secrets commerciaux, la propriété intellectuelle et les informations personnelles. Les serveurs Linux peuvent également être utilisés comme point de départ pour l'infection de réseaux plus larges remplis d'appareils Windows, macOS et Android.

Même si ce n'est pas le système d'exploitation qui fonctionne sur votre ordinateur de bureau ou votre ordinateur portable, vos données seront probablement exposées à Linux tôt ou tard. Vos fournisseurs de stockage cloud, VPN et de messagerie, ainsi que votre employeur, votre assureur maladie, vos services gouvernementaux ou votre université, utilisent presque certainement Linux dans le cadre de leurs réseaux, et il y a de fortes chances que vous possédiez ou possédiez un Internet Of sous Linux. Appareil d'objets (IoT) maintenant ou dans le futur.

De multiples menaces ont été découvertes au cours des 12 derniers mois. Certains sont des malwares Windows connus portés sur Linux, tandis que d'autres sont restés inaperçus sur les serveurs depuis près d'une décennie, ce qui montre à quel point les équipes de sécurité ont sous-estimé le risque.

De nombreux administrateurs système peuvent supposer que leur organisation n'est pas suffisamment importante pour être une cible. Cependant, même si votre réseau n'est pas un gros lot, vos fournisseurs ou clients peuvent s'avérer plus tentants, et accéder à votre système, via une attaque de phishing, par exemple, peut être une première étape pour infiltrer le leur. Il vaut donc la peine d'évaluer comment vous protégez votre système .

Malware Linux découvert en 2020

Voici notre tour d'horizon des menaces qui ont été identifiées au cours de la dernière année.

Cheval de Troie RansomEXX

Les chercheurs de Kaspersky ont révélé en novembre que ce cheval de Troie avait été porté sous Linux en tant qu'exécutable. La victime se retrouve avec des fichiers cryptés avec un chiffrement AES 256 bits et des instructions pour contacter les auteurs du malware pour récupérer leurs données.

La version Windows a attaqué des cibles importantes en 2020, notamment Konica Minolta, le ministère des Transports du Texas et le système judiciaire brésilien.

RansomEXX est spécifiquement adapté à chaque victime, le nom de l'organisation étant inclus à la fois dans l'extension de fichier crypté et dans l'adresse e-mail sur la note de rançon.

Gitpaste-12

Gitpaste-12 est un nouveau ver qui infecte les serveurs x86 et les appareils IoT exécutant Linux. Il tire son nom de son utilisation de GitHub et Pastebin pour télécharger du code, et pour ses 12 méthodes d'attaque.

Le ver peut désactiver AppArmor, SELinux, les pare-feu et autres défenses, ainsi qu'installer un mineur de crypto-monnaie.

IPStorm

Connue sous Windows depuis mai 2019, une nouvelle version de ce botnet capable d'attaquer Linux a été découverte en septembre. Il désarme le tueur de mémoire insuffisante de Linux pour continuer à fonctionner et tue les processus de sécurité qui pourraient l'empêcher de fonctionner.

L'édition Linux est livrée avec des fonctionnalités supplémentaires telles que l'utilisation de SSH pour trouver des cibles, exploiter les services de jeux Steam et explorer des sites Web pornographiques pour usurper des clics sur des publicités.

Il a également le goût d'infecter les appareils Android connectés via Android Debug Bridge (ADB).

Drovorub

Le FBI et la NSA ont mis en évidence ce rootkit dans un avertissement en août. Il peut échapper aux administrateurs et aux logiciels antivirus, exécuter des commandes root et permettre aux pirates de télécharger et de télécharger des fichiers. Selon les deux agences, Drovorub est l'œuvre de Fancy Bear, un groupe de hackers qui travaillent pour le gouvernement russe.

L'infection est difficile à détecter, mais la mise à niveau vers au moins le noyau 3.7 et le blocage des modules de noyau non fiables devraient aider à l'éviter.

Lucifer

L'exploration crypto malveillante Lucifer et le bot de déni de service distribué sont apparus pour la première fois sur Windows en juin et sur Linux en août. L'incarnation Linux de Lucifer permet les attaques DDoS basées sur HTTP ainsi que sur TCP, UCP et ICMP.

Penquin_x64

Cette nouvelle souche de la famille de malwares Turla Penquin a été révélée par des chercheurs en mai. C'est une porte dérobée qui permet aux attaquants d'intercepter le trafic réseau et d'exécuter des commandes sans acquérir de racine.

Kaspersky a découvert l'exploit fonctionnant sur des dizaines de serveurs aux États-Unis et en Europe en juillet.

Doki

Doki est un outil de porte dérobée qui cible principalement les serveurs Docker mal configurés pour installer des crypto-mineurs.

Alors que les logiciels malveillants contactent généralement des adresses IP ou des URL prédéterminées pour recevoir des instructions, les créateurs de Doki ont mis en place un système dynamique qui utilise l'API Dogecoin crypto blockchain. Cela rend difficile la suppression de l'infrastructure de commande car les opérateurs de logiciels malveillants peuvent changer le serveur de contrôle avec une seule transaction Dogecoin.

Pour éviter Doki, vous devez vous assurer que votre interface de gestion Docker est correctement configurée.

TrickBot

TrickBot est un cheval de Troie bancaire, utilisé pour les attaques de ransomware et le vol d'identité, qui est également passé de Windows à Linux. Anchor_DNS, l'un des outils utilisés par le groupe derrière TrickBot, est apparu dans une variante Linux en juillet.

Anchor_Linux agit comme une porte dérobée et est généralement diffusé via des fichiers zip. Le malware configure une tâche périodique et contacte un serveur de contrôle via des requêtes DNS.

En relation: Comment repérer un e-mail de phishing

Magnat

Le cheval de Troie Tycoon se propage généralement sous la forme d'un environnement d'exécution Java compromis dans une archive zip. Les chercheurs l'ont découvert en juin fonctionnant à la fois sur les systèmes Windows et Linux des petites et moyennes entreprises ainsi que des établissements d'enseignement. Il crypte les fichiers et exige le paiement d'une rançon.

Cloud Snooper

Ce rootkit détourne Netfilter pour masquer les commandes et le vol de données dans le trafic Web normal afin de contourner les pare-feu.

Identifié pour la première fois sur le cloud Amazon Web Services en février, le système peut être utilisé pour contrôler les logiciels malveillants sur n'importe quel serveur derrière n'importe quel pare-feu.

PowerGhost

En février également, des chercheurs de Trend Micro ont découvert que PowerGhost avait fait le saut de Windows à Linux. Il s'agit d'un mineur de crypto-monnaie sans fichier qui peut ralentir votre système et dégrader le matériel en augmentant l'usure.

La version Linux peut désinstaller ou tuer les produits anti-malware et reste active à l'aide d'une tâche cron. Il peut installer d'autres logiciels malveillants, obtenir un accès root et se propager sur les réseaux en utilisant SSH.

FritzFrog

Depuis que ce botnet peer-to-peer (P2P) a été identifié pour la première fois en janvier 2020, 20 autres versions ont été trouvées. Les victimes comprennent les gouvernements, les universités, les centres médicaux et les banques.

Fritzfrog est un malware sans fichier, un type de menace qui vit dans la RAM plutôt que sur votre disque dur et exploite les vulnérabilités des logiciels existants pour faire son travail. Au lieu de serveurs, il utilise le P2P pour envoyer des communications SSH cryptées afin de coordonner les attaques sur différentes machines, de se mettre à jour et de s'assurer que le travail est réparti uniformément sur le réseau.

Bien qu'il soit sans fichier, Fritzfrog crée une porte dérobée en utilisant une clé SSH publique pour permettre l'accès à l'avenir. Les informations de connexion des machines compromises sont ensuite enregistrées sur le réseau.

Des mots de passe forts et une authentification par clé publique offrent une protection contre cette attaque. Changer votre port SSH ou désactiver l'accès SSH si vous ne l'utilisez pas est également une bonne idée.

FinSpy

FinFisher vend FinSpy, associé à l'espionnage de journalistes et d'activistes, en tant que solution de surveillance prête à l'emploi pour les gouvernements. Déjà vu sous Windows et Android, Amnesty International a découvert une version Linux du malware en novembre 2019.

FinSpy permet la capture du trafic, l'accès aux données privées et l'enregistrement vidéo et audio à partir d'appareils infectés.

Il est devenu public en 2011 lorsque les manifestants ont trouvé un contrat pour l'achat de FinSpy dans les bureaux du brutal service de sécurité égyptien après le renversement du président Moubarak.

Est-il temps pour les utilisateurs Linux de commencer à prendre la sécurité au sérieux?

Bien que les utilisateurs de Linux ne soient pas aussi vulnérables à autant de menaces de sécurité que les utilisateurs de Windows, il ne fait aucun doute que la valeur et le volume de données détenues par les systèmes Linux rendent la plate-forme plus attrayante pour les cybercriminels.

Si le FBI et la NSA sont inquiets, alors les commerçants indépendants ou les petites entreprises exécutant Linux devraient commencer à accorder plus d'attention à la sécurité maintenant s'ils veulent éviter de devenir des dommages collatéraux lors d'attaques futures contre des organisations plus grandes.

Voici nos conseils pour vous protéger de la liste croissante des malwares Linux:

  • N'exécutez pas de binaires ou de scripts à partir de sources inconnues.
  • Installez des logiciels de sécurité tels que des programmes antivirus et des détecteurs de rootkit.
  • Soyez prudent lorsque vous installez des programmes à l'aide de commandes telles que curl. N'exécutez pas la commande tant que vous n'avez pas bien compris ce qu'elle va faire, commencez votre recherche en ligne de commande ici .
  • Découvrez comment configurer correctement votre pare-feu. Il doit consigner toutes les activités du réseau, bloquer les ports inutilisés et généralement maintenir votre exposition au réseau au minimum nécessaire.
  • Mettez à jour votre système régulièrement; définir les mises à jour de sécurité à installer automatiquement.
  • Assurez-vous que vos mises à jour sont envoyées via des connexions cryptées.
  • Activez un système d'authentification par clé pour SSH et un mot de passe pour protéger les clés.
  • Utilisez l'authentification à deux facteurs (2FA) et conservez les clés sur des périphériques externes tels qu'un Yubikey.
  • Vérifiez les journaux pour des preuves d'attaques.