IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Linux Discussion :

Les appareils Linux sont attaqués par un ver qui installe une application de minage de cryptomonnaies


Sujet :

Linux

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    June 2023
    Messages
    428
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : June 2023
    Messages : 428
    Points : 7 970
    Points
    7 970
    Par défaut Les appareils Linux sont attaqués par un ver qui installe une application de minage de cryptomonnaies
    Les appareils basés sur Linux sont attaqués par un ver jusqu'ici inconnu qui installe un logiciel de minage de cryptomonnaies
    et prend des mesures inhabituelles pour dissimuler son fonctionnement

    Un ver informatique ciblerait les appareils basés sur les systèmes d'exploitation Linux depuis au moins l'année dernière. Il serait une version personnalisée de Mirai, un botnet qui infecte les serveurs, les routeurs, les caméras Web et d'autres dispositifs de l'Internet des objets basés sur Linux. Cette nouvelle variante de Mirai a été baptisée "Noabot" par les chercheurs en cybersécurité qui l'ont découvert. Une fois que les dispositifs sont compromis, le nouveau ver installe un logiciel de minage de cryptomonnaies qui prend des mesures inhabituelles pour dissimuler son fonctionnement interne. Le ver serait jusqu'ici inconnu et les appareils infectés s'étendraient au monde entier.

    Au fur et à mesure que les entreprises augmentent leurs dépenses en sécurité pour protéger leurs infrastructures et pour les rendre plus résilientes aux cyberattaques, les acteurs de la menace innovent et déploient de nouvelles techniques d'attaques. Les dispositifs Linux sont confrontés à la menace d'un logiciel malveillant jusque-là inconnu qui pourrait avoir infecté des milliers d'équipements dans le monde. Des chercheurs de la société Akamai, spécialisée dans la sécurité et la fiabilité des réseaux, ont révélé l'existence de Noabot, un logiciel malveillant basé sur le ver Mirai, qui cible les appareils Linux depuis au moins le mois de janvier 2023.

    Mirai est un logiciel malveillant qui transforme des ordinateurs utilisant un système d'exploitation Linux en bots contrôlés à distance. Il forme ainsi un botnet qui est utilisé pour réaliser des cyberattaques à grande échelle sur les réseaux informatiques. Mirai s'est fait connaître en 2016 lorsqu'il a été utilisé pour mener des cyberattaques par déni de service distribué (DDoS) d'une ampleur record et qui ont paralysé des pans importants d'Internet cette année-là. Les créateurs ont rapidement publié le code source sous-jacent, ce qui a permis à un large éventail de groupes criminels du monde entier d'intégrer Mirai dans leurs propres campagnes d'attaque.

    Nom : noabot-activity-640x442.jpg
Affichages : 46739
Taille : 33,8 Ko

    Une fois qu'il s'est emparé d'un appareil Linux, Mirai l'utilise comme plateforme pour infecter d'autres appareils vulnérables, une conception qui en fait un ver, c'est-à-dire qu'il se réplique. Traditionnellement, Mirai et ses nombreuses variantes se propagent lorsqu'un appareil infecté scrute Internet à la recherche d'autres appareils acceptant les connexions Telnet. Les appareils infectés tentent ensuite de déchiffrer le mot de passe Telnet en devinant les paires d'identifiants par défaut et les paires d'identifiants couramment utilisées. S'ils y parviennent, les appareils nouvellement infectés ciblent à leur tour d'autres appareils en utilisant la même technique.

    Mirai a été principalement utilisé pour mener des attaques DDoS. Étant donné l'importance de la bande passante dont disposent de nombreux appareils de ce type, les flux de trafic indésirable sont souvent énormes, ce qui confère au botnet une puissance considérable. Cependant, NoaBot ne cible pas les mots de passe Telnet faibles, mais les mots de passe faibles reliant les connexions SSH. Autre nouveauté : au lieu d'effectuer des attaques DDoS, il installe un logiciel de minage de cryptomonnaies, qui permet aux acteurs de la menace de générer des pièces numériques en utilisant les ressources informatiques, l'électricité et la bande passante des victimes.

    Le mineur de cryptomonnaies installé est une version modifiée de XMRig, un autre logiciel malveillant open source. Plus récemment, NoaBot a été utilisé pour diffuser P2PInfect, un ver distinct que des chercheurs de Palo Alto Networks ont révélé en juillet dernier. Akamai surveille NoaBot depuis 12 mois dans un pot de miel qui imite de vrais dispositifs Linux afin de suivre les diverses attaques qui circulent dans la nature. À ce jour, les attaques proviennent de 849 adresses IP distinctes, dont la quasi-totalité héberge probablement un appareil déjà infecté. L'image ci-dessus montre le nombre d'attaques transmises au pot de miel au cours de l'année écoulée.

    « À première vue, NoaBot n'est pas une campagne très sophistiquée. Il s'agit "simplement" d'une variante de Mirai et d'un mineur de cryptomonnaie XMRig, qui sont monnaie courante de nos jours. Toutefois, les obscurcissements ajoutés au logiciel malveillant et les ajouts au code source original donnent une image très différente des capacités des acteurs de la menace » a écrit Stiv Kupchik, chercheur principal en sécurité chez Akamai, dans un rapport publié mercredi. Selon les chercheurs en cybersécurité d'Akamai, la capacité la plus avancée de NoaBot est la façon dont le botnet installe sa variante du logiciel de minage de cryptomonnaies XMRig.

    Nom : noabot-infection-map-640x356.jpg
Affichages : 5932
Taille : 23,6 Ko

    Généralement, lorsque des mineurs de cryptomonnaie sont installés, les fonds des portefeuilles sont distribués à des personnes spécifiées dans les paramètres de configuration fournis dans une ligne de commande émise sur l'appareil infecté. Cette approche présente depuis longtemps un risque pour les acteurs de la menace, car elle permet aux chercheurs de savoir où les portefeuilles sont hébergés et combien d'argent y a été versé. Mais au lieu de fournir les paramètres de configuration par l'intermédiaire d'une ligne de commande, le botnet les stocke sous forme chiffrée ou obscurcie et ne les déchiffre qu'une fois que XMRig est chargé en mémoire.

    Noabot remplace la variable interne qui devrait normalement contenir les paramètres de configuration de la ligne de commande et passe le contrôle au code source de XMRig. Cela permet aux acteurs de la menace d'assurer leur confidentialité. D'autres différences inhabituelles existent :

    • NoaBot est compilé à l'aide de la bibliothèque de code connue sous le nom de UClibc, alors que le Mirai standard utilise la bibliothèque GCC. La bibliothèque alternative semble modifier la façon dont les protections antivirus détectent NoaBot. Les logiciels antivirus ne classent pas Noabot comme un membre de la famille Mirai, mais dans la catégorie des scanners SSH ou des chevaux de Troie génériques ;
    • NoaBot est compilé de manière statique et dépourvu de tout symbole. Il est donc beaucoup plus difficile de procéder à une rétro-ingénierie du logiciel malveillant ;
    • les chaînes de caractères, c'est-à-dire les mots lisibles par l'homme inclus dans le code, sont obscurcies au lieu d'être sauvegardées en clair. Cette modification complique encore la tâche des ingénieurs spécialisés en rétro-ingénierie qui doivent, par exemple, extraire des détails du binaire ou utiliser IDA et d'autres outils de désassemblage ;
    • le binaire de NoaBot s'exécute à partir d'un dossier généré de manière aléatoire dans le répertoire /lib, une conception qui rend encore plus difficile la recherche d'infections par NoaBot sur les appareils ;
    • le dictionnaire standard de Mirai, qui stocke la liste des mots de passe couramment utilisés, a été remplacé par un nouveau dictionnaire si volumineux qu'il n'est pas pratique pour Akamai de tous les tester. La variante remplace également le scanner Telnet par un scanner SSH personnalisé ;
    • l'ajout d'une série de capacités post-effraction, notamment l'installation d'une nouvelle clé SSH autorisée que l'attaquant utilisera comme porte dérobée pour télécharger et exécuter des binaires supplémentaires ou se propager à de nouveaux dispositifs.


    Selon le rapport, les 849 adresses IP sources distinctes sont réparties de manière relativement uniforme à travers le monde. Cette uniformité serait courante pour les vers, qui permettent à chaque nouvelle victime d'être également un nouvel attaquant. Il y a un autre point qui reste toutefois incompris : l'existence d'un point chaud d'adresses IP source situées en Chine, qui génère environ 10 % des attaques. Akamai ne sait pas non plus combien d'autres IP hébergeant ses dispositifs ciblant le pot de miel peuvent exister. L'entreprise ignore également si certains de ces dispositifs sont en fait gérés par les attaquants pour tenter d'ensemencer leur botnet.

    Akamai a publié une vaste bibliothèque d'indicateurs que les utilisateurs peuvent utiliser pour vérifier les signes de NoaBot sur leurs dispositifs. Elle comprend une instance préconfigurée de l'application Infection Monkey d'Akamai pour tester les réseaux à la recherche de signes de compromission. Il y a également un fichier CSV qui stocke tous les indicateurs de compromission et les règles YARA pour détecter les infections par XMRig. Il est difficile de savoir pour l'instant si NoaBot reste un botnet de moins de 1 000 hôtes infectés ou si le pot de miel d'Akamai n'a vu qu'une petite partie des dispositifs affectés.

    Source : Akamai

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous du botnet NoaBot et de ses caractéristiques ?

    Voir aussi

    Malgré une série de désastres rocambolesques en 2023, l'utilisation de Linux est en hausse sur desktop. Retour sur une année pleine de rebondissements pour Linux

    « Rust est une solution pour éviter au noyau Linux et aux mainteneurs de plonger dans la stagnation », d'après Linus Torvalds à propos de l'impact de ce langage dans le développement du kernel

    Une analyse suggère que les bots malveillants représentent 73 % de l'ensemble du trafic Internet actuel et les cybercriminels utilisent l'IA générative pour rendre les bots plus sophistiqués

  2. #2
    Membre chevronné Avatar de denisys
    Profil pro
    Développeur informatique
    Inscrit en
    May 2002
    Messages
    1 117
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : May 2002
    Messages : 1 117
    Points : 1 897
    Points
    1 897
    Par défaut
    un logiciel de minage de cryptomonnaies
    l'appât du gain rend aveugle et fait faire n'importe quoi !
    Pas besoin d'un Linux , Windows ou Mac , pour cela !!!
    Ne pas savoir n’est pas une faute si l’on cherche à combler ses lacunes.

    "Il n'y a pas d'obstacles infranchissables , il y a des volontés plus ou moins énergiques voilà tous" Jules Vernes

  3. #3
    Membre émérite
    Profil pro
    retraité
    Inscrit en
    December 2010
    Messages
    800
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : December 2010
    Messages : 800
    Points : 2 279
    Points
    2 279
    Par défaut
    Et comment le ver infecte un ordinateur ? via une faille ? via une erreur de l'utilisateur ?
    Et comment vérifier si son système linux est infecté ?

  4. #4
    Membre éclairé
    Homme Profil pro
    Urbaniste
    Inscrit en
    August 2023
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Urbaniste

    Informations forums :
    Inscription : August 2023
    Messages : 374
    Points : 749
    Points
    749
    Par défaut
    Bonjour,

    C'est un scanner ssh avec une fonction de furtivité, duplication, parasitisme.

    https://www.akamai.com/blog/security...-crypto-mining

    The malware is spread over SSH protocol using a custom Mirai botnet that was modified by the threat actors.
    ...
    The SSH scanner seems to be custom made...
    that he botnet uses a different credential dictionary for its SSH scanner, and includes a lot of postbreach capabilities, such as installing a new SSH authorized key as a backdoor to download and execute additional binaries or spread itself to new victims...
    ...
    The malware’s method of lateral movement is via plain old SSH credentials dictionary attacks.

    Restricting arbitrary internet SSH access to your network greatly diminishes the risks of infection. In addition, using strong (not default or randomly generated) passwords also makes your network more secure, as the malware uses a basic list of guessable passwords. We’ve shared the credential sets used by the malware in our GitHub repository.

    There is not much to say about detecting the malware, beyond looking for its binary names. It runs from a randomly generated folder under /lib, so process names are probably the way to go. It should also be possible to detect its cron job, if one was installed. An IOC CSV file is also available at our repository, as well as some YARA signatures for the mine.
    ...
    https://github.com/akamai/akamai-sec...abot_detect.sh
    https://github.com/akamai/akamai-sec...a_user_set.txt
    https://github.com/akamai/akamai-sec...a_pass_set.txt

    Je ne vois pas de risques particulier,
    sauf celui qui existait déjà entre la chaise et le clavier,
    mais bon.... ça on y changera rien.

    Bonne journée.

  5. #5
    Futur Membre du Club
    Homme Profil pro
    Multi casquettes
    Inscrit en
    April 2018
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Multi casquettes
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : April 2018
    Messages : 15
    Points : 6
    Points
    6
    Par défaut
    Je crois qu'on a été infecté par ce type de ver
    On ne comprenait pas pourquoi le serveur web utilisait soudain 102% de sa puissance CPU
    On a découvert un processus inconnu avec un nom rassurant (je ne me souviens plus lequel), mais il était impossible à désinstaller complètement, et manifestement faisait du minage
    On a dû fermer le serveur et en prendre un autre

  6. #6
    Membre actif
    Homme Profil pro
    Architecte technique
    Inscrit en
    June 2019
    Messages
    103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : June 2019
    Messages : 103
    Points : 231
    Points
    231
    Par défaut
    Heu, en 2024, y'a encore des gens qui laissent ouvert H24 leurs ports SSH ??????
    Ben, ils cherchent aussi, non ?

  7. #7
    Membre expérimenté
    Avatar de yotta
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    September 2006
    Messages
    1 088
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : Industrie

    Informations forums :
    Inscription : September 2006
    Messages : 1 088
    Points : 1 540
    Points
    1 540
    Par défaut Ouaip, pourquoi pas.
    Une petite précision me semble nécessaire.

    Pour être susceptible d'être concerné par ce 'virus', il faut :
    1- Utilisé un équipement dit IOT (Petit équipement généralement doté de processeurs ARC, bref tout sauf des PC)
    2- Que le système ne soit pas à jour
    3- Que la combinaison nom d'utilisateur et mot de passe par défaut n'est pas modifiée

    En tous cas, contrairement à ce que laisse penser le titrage de ce pamphlet Linux n'est pas concerné, seules les distributions allégées de Linux dédiées à ce genre d'équipement sont concernées.
    Une technologie n'est récalcitrante que par ce qu'on ne la connait et/ou comprend pas, rarement par ce qu'elle est mal faite.
    Et pour cesser de subir une technologie récalcitrante, n'hésitez surtout pas à visiter les Guides/Faq du site !

    Voici une liste non exhaustive des tutoriels qui me sont le plus familiers :
    Tout sur Java, du débutant au pro : https://java.developpez.com/cours/
    Tout sur les réseaux : https://reseau.developpez.com/cours/
    Tout sur les systèmes d'exploitation : https://systeme.developpez.com/cours/
    Tout sur le matériel : https://hardware.developpez.com/cours/

Discussions similaires

  1. Réponses: 1
    Dernier message: 18/09/2020, 18h38
  2. Réponses: 7
    Dernier message: 29/04/2020, 09h41
  3. Réponses: 5
    Dernier message: 24/01/2019, 11h14
  4. Réponses: 1
    Dernier message: 28/03/2018, 10h43
  5. les caractères accentués sont remplacés par des caractères chinois
    Par ghyosmik dans le forum PHP & Base de données
    Réponses: 8
    Dernier message: 04/12/2008, 23h33

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo