Les États-Unis exhortent à sécuriser les noyaux Linux contre une nouvelle menace de malware russe
Les États-Unis exhortent les utilisateurs de Linux à sécuriser les noyaux contre une nouvelle menace de malware russe,
Qui crée une porte dérobée et permet l'exécution de commandes en tant que root
Les utilisateurs de Linux ne doivent pas croire qu'ils sont à l'abri des ambitions et de la portée du groupe de piratage russe Fancy Bear, qui utilise un ensemble de logiciels malveillants récemment divulgués pour établir une connexion de commande et de contrôle avec les systèmes Linux infectés. L'Agence de sécurité nationale américaine (NSA) et le Bureau fédéral d'investigation (FBI) ont publié ce mois un nouvel avis de cybersécurité concernant un nouveau malware Linux développé et déployé lors d'attaques réelles par les pirates russes.
Fancy Bear, également connu sous le nom de Strontium ou APT 28, est le célèbre groupe de pirates informatiques suspecté d'être parrainé par le gouvernement russe. Selon l’avis, le nouveau malware appelé "Drovorub" crée essentiellement une porte dérobée qui permet le téléchargement de fichiers, l'exécution de commandes arbitraires en tant que root et le transfert du trafic réseau vers d'autres hôtes du réseau, ont averti le FBI et la NSA. L'avis décrit le malware comme un « implant couplé à un module de noyau rootkit », enrichi de composants et de modules supplémentaires.
Les deux services ont présenté Drovorub comme « une menace pour les clients des systèmes de sécurité nationale, du ministère de la Défense et de la base industrielle de la défense qui utilisent les systèmes Linux ». Les attaquants des États nations développent constamment de nouvelles armes furtives conçues pour compromettre les systèmes d'exploitation Linux, qui font tourner des serveurs, des superordinateurs et une multitude de dispositifs IdO que l'on trouve dans des domiciles et au bureau. Pourtant, il est parfois facile pour les utilisateurs de Linux de baisser leur garde, en pensant que Windows reste la cible principale des cybercriminels.
« Maintenir un système à jour et entièrement protégé n'est pas spécifique aux environnements Windows », a déclaré l'équipe ATR Operational Intelligence de McAfee dans un article de blog de l'entreprise. « Les systèmes basés sur Linux sont très répandus dans de nombreuses entreprises, et fonctionnent souvent en dehors de la visibilité directe des administrateurs système. En partie à cause de cette faible visibilité, les acteurs de la menace considèrent la pile Linux comme une cachette idéale et un point de lancement pour un mouvement latéral. Il est donc prioritaire de maintenir ces environnements à jour et sécurisés ».
C’est donc pour éviter les mauvaises surprises que le FBI et la NSA ont conseillé aux utilisateurs de Linux de se mettre à jour vers le noyau Linux 3.7 ou une version ultérieure « afin de tirer pleinement parti de l'application de la signature du noyau », et d'activer également l'UEFI Secure Boot et de « configurer les systèmes pour ne charger que les modules avec une signature numérique valide, ce qui rend plus difficile pour un acteur d'introduire un module de noyau malveillant dans le système », lit-on.
Rosa Smothers, vice-présidente senior des cyber-opérations chez KnowBe4, a dit dans une déclaration : « Si vous gardez vos distributions Linux à jour, alors vous devriez être épargné de tout problème ». « Ma principale préoccupation concerne tous les systèmes embarqués utilisant ces anciens noyaux ; je soupçonne qu'il y en a beaucoup qui restent introuvables, donc vulnérables », a-t-elle ajouté. Les routeurs ou la technologie de la maison intelligente sont des exemples de ces systèmes intégrés.
« Le point le plus important du rapport est que Fancy Bear a encore des tours dans sa manche avec plus d'outils et de capacités qui sont encore en cours de découverte », a déclaré Adam Meyers, vice-président senior du renseignement chez CrowdStrike. « Un autre élément clé est que de nombreuses organisations n'ont pas investi dans des outils de sécurité similaires pour Linux comme elles l'ont fait pour d'autres plateformes d'utilisateurs. Elles doivent réaliser que Linux est tout aussi vulnérable aux logiciels malveillants que n'importe quelle autre plateforme ».
Fancy Bear s’est signalé du côté de l’Europe l’année dernière, selon Microsoft, qui affirmait avoir détecté différentes attaques qui visaient des institutions démocratiques européennes. Selon Microsoft, les attaques ne se sont pas limitées à des campagnes électorales particulières, mais qu’elles comportaient un élément politique bien défini. Selon la société, « elles s'étendent souvent aux groupes de réflexion et aux organisations à but non lucratif travaillant sur des sujets liés à la démocratie, à l'intégrité électorale et aux politiques publiques et qui sont souvent en contact avec des responsables gouvernementaux ».
Que sait-on sur le nouveau malware Drovorub ?
Selon les informations publiées par le FBI et la NSA, le logiciel malveillant est composé de quatre composants principaux qui exécutent des modules spécifiques aux tâches, et la communication entre les composants se fait via un format de message basé sur JSON, sur le protocole WebSocket qui fonctionne via une connexion TCP.
Le composant serveur Drovorub réside dans l'infrastructure de l'attaquant et permet le concept de communication C2 (commande et contrôle), en exploitant une base de données MySQL pour stocker les données nécessaires à l'enregistrement, l'authentification et l'attribution des tâches. Le module Drovorub-client, quant à lui, se trouve sur les terminaux infectés et reçoit les commandes du module serveur. Il permet le transfert de fichiers, la redirection de port et des capacités de shell à distance, et est fourni avec le module Drovorub-kernel, qui offre « une fonctionnalité de furtivité basée sur le rootkit pour cacher le client et le module du noyau », explique l'avis.
Drovorub comporte un quatrième module, Drovorub-agent, qui agit de manière similaire au Drovorub-client, et est « susceptible d'être installé sur des hôtes accessibles par Internet ou sur une infrastructure contrôlée par l'acteur de la menace», indique l'avis. Ce module peut lui aussi recevoir des commandes du serveur, mais il dispose d'une capacité de shell à distance ou d'un rootkit de module de noyau. Il faut noter que les modules agent et client ne peuvent pas communiquer directement, mais ils peuvent interagir indirectement via le module serveur.
Se référant aux techniques d'évasion avancées de toolkit, le FBI et la NSA notent que le module Drovorub-kernel « pose un défi à la détection à grande échelle sur l'hôte, car il cache des artefacts Drovorub [par exemple des fichiers, des répertoires et des processus] des outils couramment utilisés pour la réponse en direct à l'échelle ».
Le défi est d’autant important que « L'un des plus grands problèmes de la communauté Linux est que les gens ont tendance à croire au battage médiatique selon lequel Linux définitivement sûr. Cela tend à faire que les gens ne mettent pas à jour Linux aussi souvent qu'ils le devraient, ou n'achèvent pas l'installation des mises à jour du noyau quand ils le devraient », a déclaré Robert Meyers, architecte des solutions chez One Identity. Mais « Il n'y a pas de magie à protéger un système d'exploitation. Quelqu'un va essayer de les pirater tous et chacun d'entre eux. Chaque fois que des mises à jour sont disponibles, elles doivent être complétées, en utilisant une méthodologie informatique standard ».
En juillet, des chercheurs d'Intezer ont révélé leur découverte d'une attaque de conteneurs Docker qui distribue une porte dérobée malveillante « totalement indétectable » pour les environnements Cloud basés sur Linux. Comme les organisations déplacent de plus en plus leurs infrastructures commerciales hors de leurs locaux, les cybercriminels sont de plus en plus motivés pour cibler les environnements Cloud Computing basés sur Linux.
« Le nouveau malware baptisé "Doki" n'a été détecté par aucun des 60 moteurs de détection de malware de VirusTotal depuis sa première analyse le 14 janvier 2020 », ont écrit les chercheurs. « Toute personne ayant un accès public à l'API de Docker court un risque élevé d'être piratée en quelques heures seulement », ont-ils ajouté.
Pour lutter contre le malware Drovorub, le FBI et la NSA suggèrent des mesures telles que des systèmes de détection des intrusions sur le réseau, des sondages, l'utilisation de produits de sécurité, la journalisation, la réponse en direct, l'analyse de la mémoire et l'analyse de l'image des disques durs. McAfee a spécifiquement suggéré dans son billet de blog de scanner les rootkits afin de découvrir les portes dérobées et les éventuels exploits locaux, de ne charger que les modules connus ou de désactiver entièrement les modules, d'utiliser le verrouillage du noyau Linux, d’autoriser l'amélioration de la sécurité de SELinux et plus encore.
Sources : Communiqué de presse, Avis de cybersécurité
Et vous ?
Que pensez-vous du nouveau malware ?
Voir aussi :
Répondre avec citation
Envoyé par jvallois
Partager