Discussion :

[Hinault Romaric]

Linux infecté par une variante de Turla
un malware sophistiqué utilisé depuis des années pour espionner 45 États

Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux d’une famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.

Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.

En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé qu’il s’agissait de l’une des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus d’une centaine d’ordinateurs Windows dans ces pays. Le malware figure au même rang que Regin, un cheval de Troie hautement complexe qui avait été découvert en novembre dernier par Symantec.

Il a été construit sur les bases de Agents.btz, un ver qui s’était introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de l’armée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l’ US Cyber Command.

Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant l’OS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.

Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par l’éditeur G-Data, qui se basait sur l’analyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.

La découverte d’une variante sous Linux montre que ses capacités ont été sous-estimées. « L’échantillon de Turla nouvellement découvert est inhabituel du fait que c’est le premier échantillon que nous avons trouvé qui cible les systèmes d’exploitation Linux », a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Nous soupçonnons que cette composante est en cours d’exécution depuis des années. »

Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer

Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.

Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré d’informations sous forme de symboles qui complexifient les opérations de « reverse engineering ».

La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.

Source : Kaspersky


Et vous ?

Que pensez-vous du malware Turla ?

Serai-t-on en plein dans une cyberguerre ?

[sevyc64]

Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

Décidément, tout fout le camps dans ce monde décadent !!!

[Escapetiger]

Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.

La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.

Que pensez-vous du malware Turla ?

Serai-t-on en plein dans une cyberguerre ?

Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

Au delà de l'humour de sevyc64 plutôt mal perçu à chaud, le malware en question (virus ?) est une "solution" de plus pour établir son pouvoir technologique, que ce soit m$soft ou linux.

Pas d'avis technique sur Turla, place aux chercheurs du monde entier qui s'y connaissent.

La cyberguerre a déjà commencé aux yeux du plus grand nombre (enfin surtout les technophiles, techno-compréhensifs,etc...) depuis des articles récurrents et vérifiables dans leurs conséquences, Stuxnet pour les centrales nucléaires iraniennes par exemple.

Une des questions qui me vient à l'esprit, là, maintenant :
Est-ce que nos gouvernements ont bien pris conscience de ces menaces ? et qu'à force d'avoir une logique strictement financière, ne sont-ils pas en train de creuser notre tombe .. et la leur (et ceux de leurs "obligés", de leurs "commanditaires" ) ?
M'est avis que les bouquins de Science-Fiction du passé (parfois considérés comme "ringard", plus pour la forme que pour le fond) vont devenir sous peu des livres de philosophie, de sociologie de facto.

[Invité]

@sevyc64
Effectivement, il y a des fanboys partout! Des fanboys qui prétendent la perfection de leur chouchou sans objectivité (ou parce qu'il l'on entendu...), et qui malheureusement "stérilise" trop de sujet/conversation.
Il ne sont pas majoritaire, mais on les voie trop souvent! ; )

Décidément, tout fout le camps dans ce monde décadent !!!

On va bientôt regretter le temps de windows95, ou les virus se contentés d'afficher 10.000 fenêtre ou de saturé un disque dur inutile

@Escapetiger:

Est-ce que nos gouvernements ont bien pris conscience de ces menaces ?

Il ne le montre pas en tous cas.

Un firewall applicatif pourrait-il contrer ce genre de menace sous linux? Ne serait-ce pas une sécurité supplémentaire?
(Même si on à confiance au logiciel qu'on installe, on est pas à l'abri de fail, de remote code exécution...)

[rupteur]

même s'il n'en a pas besoin, sait-on s'il arrive à élever ses privilèges ?

(pour rappel ce n'est pas le premier et certainement pas le dernier. en mars 2014 il y a eu wendigo)

[imikado]

Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture

En lisant

Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques

Je continue de me sentir à l'abris sur un Os que j'utilise depuis près de dix ans sans antivirus ni incidents à deplorer (contrairement à ma femme, mon père sous windows sur la même période)

Plusieurs choses:
1. GNU/linux "desktop" est plutot épargné pas ce type de logiciel du fait de sa faible part de marché

2. Pour Windows, cela devrait s'empirer avec W10 (et son unification) permettant aux hacheurs avec le même "virus/malware" de cibler a la fois les smartphones, tablettes,Xbox et PC

3. Perso, comme beaucoup de linuxiens, j'ai d'abord connu,acheté et utilisé windows avant de le quitter pour mac puis GNU/linux

C'est un choix que je ne regrette pas. Utilisant comme beaucoup windows au travail, je continue de le voir evoluer et possedant les dvd windows (fourni par dell), je pourrais r- switcher si je considerais windows comme sécurisé ou si il m'apportait quelque-chose qui me manquerait à la maison

Je n'ai pas de tatouage du manchot, ni d'action chez cannonical

C'est un choix personnel de préférer désinstaller l'os pré installé sur mes ordinateurs pour y installer un Os que je trouve plus sécurisé et avec une interface et des outils plus confortable et de plus gratuit
C'est pas une secte linux

[benjani13]

Mais pourquoi vous vous embêtez à répondre à la petite phrase trollesque de sevyc64? lol

Que pensez-vous du malware Turla ?

Une cyberarme de plus démasquée, on prend conscience que la guerre change réellement de terrain, et on s'attriste de voir l'hypocrisie des états. On se demande si la paix, relative, entre les états n'est du qu'à la dissuasion nucléaire et non à une vrai volonté de pacification. Car à la moindre possibilité de faire un coup en douce, ils s'y engouffrent, et l'informatique (et notamment internet) leur à donner un nouveau terrain de jeu. Hypocrisie encore plus grande quand on voit la volonté de contrôler le net, alors qu'eux même ne s'imposent aucun contrôle.

[Saverok]

Serai-t-on en plein dans une cyberguerre ?

Je pense que la question ne se pose plus
La question qui se pose désormais est de savoir à partir de quel moment une attaque virtuelle va justifier une déclaration de guerre "officielle" qui débouchera sur une guerre IRL ?

[Conaclos]

Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

Tous système est corruptible, d'une manière ou d'une autre...
De plus Linux n'est pas un noyau dont la priorité est la sécurité... si tel était le cas il intégrerait depuis longtemps une majorité de propositions faites par SELinux...

[temoanatini]

Sait-on depuis quand le malware est dans Linux ?

On nous dit qu'il doit être exécuté depuis des années mais combien ?

L'aspect ouvert ne permet-il pas de faire ce genre de recherches ?

Quid de la qualité de relecture du code ? Plusieurs personnes ont dû passer dessus sans se rendre compte de quoi il s'agissait... je comprends bien que c'est de la "haute voltige" en terme de programmation et que c'est très sophistiqué. Je ne sais pas comment mais de toutes façons je ne comprendrais certainement pas le quart du huitième...

Ma question est plutôt la suivante : que se passe-t-il lorsque des personnes tombent sur ce code ? Elles le lisent, ne savent pas ce que ça fait et donc on passe à autre chose ?

Ne faut-il pas justifier l'insersion de code dans Linux d'une manière quelconque ?

pas de troll ici c'est juste pour comprendre comment "on" est passé au travers

[Agrajag]

@temoanatini :
Est-ce qu'un Etat, en passant par divers contributeurs intermédiaires, peut avoir la possibilité de faire des pull request sur certains projets ?

@sevyc64 :
Ca reste assez ponctuel pour pouvoir continuer à en faire des news quand ça arrive.
Et pendant ce temps là sous windows ...

-> Serai-t-on en plein dans une cyberguerre ?
On peut dire ça, sauf qu'on utilise toujours les armes que nos adversaires nous mettent à disposition.
De la même manière qu'on se moque des mouvements non-gouvernementaux rebelles qui s'approvisionnent en arme via la Russie ou les USA, on pourrait songer à rire de nos cyber-batailles où l'on se sert d'armes piégées dont le code est parfaitement inconsultable, et qui risque plus de nous nuire que de nous être utile dans cette confrontation : OS étranger (Apple, Microsoft) Plateformes étrangères (BDD Oracle, Java RE), Consoles Etrangères (Microsoft, Sony, Nintendo), Machine et smartphones Etrangers (Dell, Samsung, Microsoft, Nokia), Editeurs de jeux sur ces plateformes (dont très peu sont Français), et Editeurs de logiciels.
De plus, la plupart de ces "acteurs" proviennent d'un seul et même Pays.

Et c'est pas avec Mageia (quoique, c'est un début... saluons l'initiative) qu'on va s'en sortir !

[imikado]

Sait-on depuis quand le malware est dans Linux ?

Il est pas dans linux (le kernel), mais compatible avec les ordinateurs utilisants GNU/Linux comme Windows

[benjani13]

Sait-on depuis quand le malware est dans Linux ?

@temoanatini :
Est-ce qu'un Etat, en passant par divers contributeurs intermédiaires, peut avoir la possibilité de faire des pull request sur certains projets ?

Comme dit imikado il n'est pas dans Linux. Il ne s'agit pas d'une backdoor mais d'un malware.

[Saverok]

-> Serai-t-on en plein dans une cyberguerre ?
On peut dire ça, sauf qu'on utilise toujours les armes que nos adversaires nous mettent à disposition.
De la même manière qu'on se moque des mouvements non-gouvernementaux rebelles qui s'approvisionnent en arme via la Russie ou les USA, on pourrait songer à rire de nos cyber-batailles où l'on se sert d'armes piégées dont le code est parfaitement inconsultable, et qui risque plus de nous nuire que de nous être utile dans cette confrontation : OS étranger (Apple, Microsoft) Plateformes étrangères (BDD Oracle, Java RE), Consoles Etrangères (Microsoft, Sony, Nintendo), Machine et smartphones Etrangers (Dell, Samsung, Microsoft, Nokia), Editeurs de jeux sur ces plateformes (dont très peu sont Français), et Editeurs de logiciels.
De plus, la plupart de ces "acteurs" proviennent d'un seul et même Pays.

Et c'est pas avec Mageia (quoique, c'est un début... saluons l'initiative) qu'on va s'en sortir !

Côté armement, la France fait parti des big 5 et ce n'est pas sans raison, y compris en ce qui concerne l'informatique
Une filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.
Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pub
A partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à France

Ce n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contraire

[benjani13]

Côté armement, la France fait parti des big 5 et ce n'est pas sans raison, y compris en ce qui concerne l'informatique
Une filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.
Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pub
A partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à France

Ce n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contraire

Tu es sur pour EADS? Si on parle bien de la même Amesys, celle ci est une filiale de Bull est a plutôt mauvaise presse (aide à l'espionnage en Lybie sous le régime Kadhafi).

[Saverok]

Tu es sur pour EADS? Si on parle bien de la même Amesys, celle ci est une filiale de Bull est a plutôt mauvaise presse (aide à l'espionnage en Lybie sous le régime Kadhafi).

Il s'agit bien de la même
Je me suis gouré sur la filiation, méa culpa

Et vi, on vend rarement des armes à des gentils, surtout quand il s'agit d'instrument de surveillance de masse d'une population...
La plupart des ventes d'armes se font dans le secret
Le cas de la Libye est sorti dans la presse mais combien d'autres contrats restent dans l'ombre ?
On ne connaît que la face émergée de l'iceberg sur ces sujets
Contrairement aux USA, la France n'a pas eu droit à son lanceur d'alerte.

[Traroth2]

L'article ne dit pas grand-chose sur son mode de propagation sur système Linux, en fait.

[sevyc64]

Ah j'adore, dès qu'on trolle sur Windows, tout le monde applaudi, tout le monde renchérie. Mais dès qu'on trolle sur Linux, hou là c'est lever de bouclier, salves sur salves de -1, etc...

Ne vous faites pas d'illusion, Linuxiens, lorsque Linux atteindra les part de marché que Windows a actuellement, vous verrez que vous ne serez plus du tout à l'abri des virus. C'est ainsi, et c'est pas près de changer.

[benjani13]

Ah j'adore, dès qu'on trolle sur Windows, tout le monde applaudi, tout le monde renchérie. Mais dès qu'on trolle sur Linux, hou là c'est lever de bouclier, salves sur salves de -1, etc...

Ne vous faites pas d'illusion, Linuxiens, lorsque Linux atteindra les part de marché que Windows a actuellement, vous verrez que vous ne serez plus du tout à l'abri des virus. C'est ainsi, et c'est pas près de changer.

Un poste inutile de plus, t'as regagné un -1. Si ça te rassure, j'ai aussi mis un -1 à ceux qui ont répondu à ton troll.

[imikado]

C'est l'action de troller en général qui attire des -1, que ce soit Linux, Mac ou Windows

Ne vous faites pas d'illusion, Linuxiens, lorsque Linux atteindra les part de marché que Windows a actuellement, vous verrez que vous ne serez plus du tout à l'abri des virus. C'est ainsi, et c'est pas près de changer.

Et relisez mon post avant d'affirmer de tels choses