IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des pirates chinois exploitent une porte dérobée jusqu'alors inconnue sous Linux dans le but d'espionner


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Juin 2023
    Messages
    599
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2023
    Messages : 599
    Points : 10 905
    Points
    10 905
    Par défaut Des pirates chinois exploitent une porte dérobée jusqu'alors inconnue sous Linux dans le but d'espionner
    Des pirates informatiques chinois auraient exploité une porte dérobée jusqu'alors inconnue sous Linux pour espionner les gouvernements étrangers
    selon les chercheurs en cybersécurité de Trend Micro

    Un groupe de pirates informatiques chinois aurait exploité une porte dérobée de Linux jusqu'alors inconnue à des fins d'espionnage à grande échelle. C'est la conclusion d'un rapport d'étude récemment publié par des chercheurs en sécurité de Trend Micro. Le groupe, baptisé Earth Lusca, aurait été très actif au cours du premier semestre de l'année, ciblant des organisations gouvernementales en Asie du Sud-Est, en Asie centrale, dans les Balkans et ailleurs. Les organisations ciblées sont axées sur les affaires étrangères, la technologie et les télécommunications. Trend Micro pense que cette porte dérobée est une adaptation d'une porte dérobée sous Windows appelée "Trochilus".

    Trend Micro, une entreprise japonaise de cybersécurité, a publié lundi un rapport sur une nouvelle porte dérobée découverte dans le noyau Linux, ainsi que des données montrant qu'elle a été exploitée dans des campagnes d'espionnage de masse par un acteur de la menace prétendument affilié au gouvernement chinois. La porte dérobée a été baptisée "SprySOCKS" et les chercheurs en sécurité de Trend Micro pensent qu'elle provient d'une porte dérobée sous Windows nommée "Trochilus", qui a été vue pour la première fois en 2015 par des chercheurs de l'éditeur de logiciels Arbor Networks (aujourd'hui connu sous le nom Netscout Systems).

    Selon ces chercheurs, Trochilus s'exécutait et fonctionnait uniquement en mémoire, et que la charge utile finale n'apparaissait jamais sur les disques dans la plupart des cas. Cela rendait le logiciel malveillant difficile à détecter. Les chercheurs de NHS Digital au Royaume-Uni ont déclaré que Trochilus avait été développé par APT10, un acteur de menace lié au gouvernement chinois (également appelé Stone Panda ou MenuPass). D'autres groupes l'ont ensuite utilisé et son code source est disponible sur GitHub depuis plus de six ans. Trochilus a été utilisé dans le cadre de campagnes faisant appel à un autre logiciel malveillant connu sous le nom de RedLeaves.

    Nom : zedqz.png
Affichages : 33456
Taille : 33,5 Ko
    Liste des messages traités par SprySOCKS et explication de leurs fonctions

    En analysant SprySOCKS, Trend Micro dit avoir découvert qu'elle incorpore des éléments provenant de divers autres logiciels malveillants. Le protocole de communications du serveur de commande et de contrôle utilisé par SprySOCKS ressemble beaucoup à celui de RedLeaves, une porte dérobée sous Windows, tandis que sa mise en œuvre de l'interpréteur de commandes interactif semble avoir été dérivée de Derusbi, un logiciel malveillant affectant Linux. Selon les experts de Trend Micro, la porte dérobée SprySOCKS était jusque-là inconnue, mais qu'elle a été exploitée l'acteur de la menace appelé Earth Lusca, identifié comme étant affilié au gouvernement chinois.

    Le rapport de l'étude indique que le groupe de pirates informatiques Earth Lusca a été actif au cours du premier semestre de cette année. Elle aurait concentré ses attaques sur des organisations gouvernementales impliquées dans les affaires étrangères, la technologie et les télécommunications en Asie du Sud-Est, en Asie centrale et dans les Balkans. Pour obtenir un accès initial à ces réseaux ciblés, le groupe exploite des vulnérabilités d'exécution de code à distance non authentifiées qui remontent à 2019 et s'étendent jusqu'en 2022. Une fois à l'intérieur, les pirates lâchent des balises Cobalt Strike, ce qui leur permet d'accéder à distance au réseau compromis.

    Ensuite, les pirates utilisent cet accès pour le déplacement latéral, l'exfiltration de fichiers, le vol d'informations d'identification et le déploiement de charges utiles supplémentaires telles que ShadowPad. Selon le rapport, SprySOCKS met en œuvre les fonctionnalités habituelles d'une porte dérobée, notamment la collecte d'informations sur le système, l'ouverture d'un Shell interactif à distance pour contrôler les systèmes compromis, l'énumération des connexions réseau et la création d'un proxy basé sur le protocole SOCKS pour télécharger des fichiers et d'autres données entre le système compromis et le serveur de commande contrôlé par l'attaquant.

    Pour mettre en place la porte dérobée SprySOCKS, Earth Lusca utilise une variante de l'injecteur Linux ELF appelée "mandibule", qui apparaît sous la forme d'un fichier appelé "libmonitor.so.2". Le chargeur fonctionne sous le nom de "kworker/0:22" pour éviter d'être détecté. Il déchiffre la charge utile de deuxième étape (SprySOCKS) et établit une persistance dans l'ordinateur infecté. Selon les chercheurs de Trend Micro, la porte dérobée SprySOCKS fonctionne également à l'aide de HP-Socket, un framework de mise en réseau à haute performance. Sa communication avec le serveur de commande et de contrôle est cryptée à l'aide de l'AES-ECB.

    Trend Micro a identifié deux versions de SprySOCKS, appelées v1.1 et v1.3.6, ce qui indique un développement continu du programme malveillant. À la lumière de ces résultats, il est fortement conseillé aux organisations d'appliquer en priorité toutes les mises à jour de sécurité disponibles pour leurs produits de serveur en contact avec le public afin d'empêcher la compromission initiale de Earth Lusca. Selon le rapport, le serveur de Earth Lusca qui hébergeait SprySOCKS a aussi fourni les charges utiles Cobalt Strike et Winnti. Cobalt Strike est un outil de piratage utilisé aussi bien par les professionnels de la sécurité que par les acteurs de la menace.

    Il fournit une suite complète d'outils permettant de trouver et d'exploiter les vulnérabilités. Earth Lusca l'utilisait pour étendre son accès après avoir pris pied dans un environnement ciblé. Winnti, quant à lui, est à la fois le nom d'une suite de logiciels malveillants utilisée depuis plus de dix ans et l'identifiant d'une série de groupes de menaces distincts. Selon les informations sur ces groupes, tous seraient liés à l'appareil de renseignement du gouvernement chinois. Par ailleurs, le rapport de Trend Micro fournit des adresses IP, des hachages de fichiers et d'autres éléments de preuve que les gens peuvent utiliser pour déterminer s'ils ont été compromis.

    Cependant, la présentation de SprySOCKS comme une porte dérobée ne convainc pas tout le monde et suscite des critiques. Pour certains critiques, il ne s'agit que d'un logiciel malveillant et non une porte dérobée. « Plus personne ne se préoccupe du sens des mots ? Il ne s'agit pas d'une porte dérobée sous Linux. Une porte dérobée est par définition disponible sur toutes les machines pilotées par Linux. Pourtant, aucune de mes machines Linux n'a cette "porte dérobée", aucune de vos machines Linux n'a cette "porte dérobée". Il s'agit simplement d'un logiciel malveillant que certains peuvent installer sur une machine Linux », a écrit un critique.

    Trend Micro a découvert le groupe Earth Lusca en 2021 et l'a documenté l'année suivante. Earth Lusca cible des organisations du monde entier, principalement des gouvernements d'Asie. Il utilise l'ingénierie sociale pour attirer les cibles vers des sites où elles sont infectées par des logiciels malveillants. Outre son intérêt pour les activités d'espionnage, Earth Lusca semble avoir des motivations financières, avec des visées sur les sociétés de jeux d'argent et de cryptomonnaies.

    Source : Trend Micro

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous de SprySOCKS et de son fonctionnement ?
    Selon vous, est-ce une porte dérobée ou un logiciel malveillant ?

    Voir aussi

    Une porte dérobée aurait été introduite intentionnellement dans la norme TETRA des radios utilisées par la police et l'armée dans le monde entier, elle peut être exploitée pour déchiffrer le trafic

    La Chine accuse la NSA d'avoir piraté son université de recherche militaire pour voler des données

    Des portes dérobées ont été trouvées dans plus de 90 thèmes et plugins WordPress, affectant plus de 360 000 sites actifs, suite à une attaque massive de la chaîne d'approvisionnement

    Des centaines de sites WordPress infectés par une porte dérobée récemment découverte, ce nouveau logiciel malveillant pour Linux exploite 30 vulnérabilités dans des plugins WordPress

  2. #2
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 800
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 800
    Points : 52 836
    Points
    52 836
    Billets dans le blog
    5
    Par défaut
    Bizarre, moi qui croyait que Linux, du fait que c'était de l'open source, il ne pouvait y avoir de tels trou de sécurité vu que tout le monde peut lire le code source... il aura donc fallu 4 ans avant de découvrir ce problème ?
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

  3. #3
    Membre régulier
    Profil pro
    Inscrit en
    Juillet 2005
    Messages
    15
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2005
    Messages : 15
    Points : 85
    Points
    85
    Par défaut
    SQLpro, tu aurais pris le temps de lire l'article et non juste le titre et tu aurais pu voir ceci : "Cependant, la présentation de SprySOCKS comme une porte dérobée ne convainc pas tout le monde et suscite des critiques. Pour certains critiques, il ne s'agit que d'un logiciel malveillant et non une porte dérobée. « Plus personne ne se préoccupe du sens des mots ? Il ne s'agit pas d'une porte dérobée sous Linux. Une porte dérobée est par définition disponible sur toutes les machines pilotées par Linux. Pourtant, aucune de mes machines Linux n'a cette "porte dérobée", aucune de vos machines Linux n'a cette "porte dérobée". Il s'agit simplement d'un logiciel malveillant que certains peuvent installer sur une machine Linux », a écrit un critique."
    Et puis si tu veux lire l'article en anglais de Trend Micro, il est toujours amusant de voir à la fin de l'article ce type de pub : "Cutting-edge and adaptable security solutions like Trend Micro XDR play a pivotal role in safeguarding organizations against Earth Lusca and other threat actors."

    Après Linux n'est pas infaillible mais je crois que pour les autres OS, ce n'est guère mieux.

  4. #4
    Membre expérimenté
    Homme Profil pro
    Robotique
    Inscrit en
    Août 2007
    Messages
    649
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Robotique

    Informations forums :
    Inscription : Août 2007
    Messages : 649
    Points : 1 332
    Points
    1 332
    Par défaut
    Citation Envoyé par SQLpro Voir le message
    Bizarre, moi qui croyait que Linux, du fait que c'était de l'open source, il ne pouvait y avoir de tels trou de sécurité vu que tout le monde peut lire le code source... il aura donc fallu 4 ans avant de découvrir ce problème ?
    A chaque fois on a droit à la même rengaine à la lettre près.
    Plutôt que de critiquer, apparemment sans savoir, instruisez-vous.


    Pour mettre en place la porte dérobée SprySOCKS, Earth Lusca utilise une variante de l'injecteur Linux ELF appelée "mandibule", qui apparaît sous la forme d'un fichier appelé "libmonitor.so.2". Le chargeur fonctionne sous le nom de "kworker/0:22"
    Mes deux cents,

  5. #5
    Nouveau membre du Club
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    Septembre 2011
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2011
    Messages : 17
    Points : 39
    Points
    39
    Par défaut
    SQLpro,

    avant de citer Linux comme "open source", il aurait été intéressant que tu lises 2 posts d'actualité plus bas, l'article

    "Quarante ans du système d'exploitation GNU et du mouvement du logiciel libre"...

    G.

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    1 817
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 1 817
    Points : 5 842
    Points
    5 842
    Par défaut
    Citation Envoyé par SQLpro Voir le message
    Bizarre, moi qui croyait que Linux, du fait que c'était de l'open source, il ne pouvait y avoir de tels trou de sécurité vu que tout le monde peut lire le code source... il aura donc fallu 4 ans avant de découvrir ce problème ?
    J'adore cette remarque...

    Cher SQLpro... Connais-tu quelqu'un dans ton entourage qui occupe ses journées à lire les codes "open-source" des logiciels qu'il utilise? Pour ma part... Aucun!

    Penses-tu qu'il existe dans le monde un seul mec qui passe ses journées à faire l'audit des codes "open-source" qui se promènent dans notre beau monde numérique?

    Ben non! Ton "trou de sécurité" va tout simplement être découvert par hasard... Il peut donc se passer des décennies avant qu'il soit découvert par un heureux concours de circonstance...

  7. #7
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 529
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 529
    Points : 43 394
    Points
    43 394
    Par défaut
    Et le code reste de toute façon plus facile d'auditer du code opensource que du code fermé.

    Comme déjà dit, l'audit de code représente un coup pour le développeur. Qu'est ce qui garanti que celui-ci mettra les ressources suffisantes sur le sujet ?

    Et comme déjà dit également, il est tout à fait légitime qu'un développeur ne rende pas son code lisible par tout le monde.

    A vous de faire le choix entre :
    - la fiabilité du produit
    - sa gratuité ou non
    - son ergonomie, etc.

    Le fait que le code soit fermé ou opensource, tout comme sa gratuité ou non ne le rend ni meilleur, ni plus secure. Par contre le fait d'avoir un code opensource, donne accès à un nombre potentiellement plus important de relecteurs, ce qui ne veut pas dire qu'il sera aussi bien relu ou moins bien relu qu'un produit payant. Sans être complotiste, qui vous garantie qu'une faille découverte en interne par un éditeur soit corrigé une fois sa découverte en interne plutôt que l'attente de sa découverte publique ? Un éditeur a plus intérêt économiquement à ajouter de nouvelles fonctionnalités pour plus vendre son produit que de corriger des failles non connues publiquement.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  8. #8
    Membre émérite
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    913
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2009
    Messages : 913
    Points : 2 826
    Points
    2 826
    Par défaut
    Citation Envoyé par SQLpro Voir le message
    Bizarre, moi qui croyait que Linux, du fait que c'était de l'open source, il ne pouvait y avoir de tels trou de sécurité vu que tout le monde peut lire le code source... il aura donc fallu 4 ans avant de découvrir ce problème ?
    https://msrc.microsoft.com/update-gu...CVE-2022-41033

    Vulnérabilité qui remonte jsuqu'au Windows server 2008.

    14ans, la supériorité de Microsoft est confirmé

  9. #9
    Membre éclairé
    Homme Profil pro
    Architecte de système d'information
    Inscrit en
    Septembre 2015
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Architecte de système d'information

    Informations forums :
    Inscription : Septembre 2015
    Messages : 204
    Points : 839
    Points
    839
    Par défaut
    Citation Envoyé par Anselme45 Voir le message
    Connais-tu quelqu'un dans ton entourage qui occupe ses journées à lire les codes "open-source" des logiciels qu'il utilise? Pour ma part... Aucun!
    j'ai regardé le code source de DOSBox, TestDisk, 7Zip (juste une petite partie), ... juste pour voir comment ça fonctionnait


    après de là, à trouver une faille dans le code... surtout quand tu n'es pas dans cette optique là ... et y passer ses journées

  10. #10
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 529
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 529
    Points : 43 394
    Points
    43 394
    Par défaut
    C'est pas donné à tout le monde de faire de la relecture de code, il faut quand même un bon niveau.

    Et en plus il faut du temps, et que les sources soient dispos à moins d'être payé pour ça par l'éditeur du produit.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

Discussions similaires

  1. Réponses: 0
    Dernier message: 17/05/2019, 09h13
  2. Réponses: 1
    Dernier message: 27/11/2018, 11h48
  3. Réponses: 1
    Dernier message: 17/01/2018, 07h41
  4. Réponses: 2
    Dernier message: 17/08/2017, 21h18
  5. Réponses: 1
    Dernier message: 10/12/2016, 15h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo