Sa réputation de sécurité signifie que Linux est souvent considéré comme moins vulnérable aux types de menaces qui affligent régulièrement les systèmes Microsoft Windows. Une grande partie de cette sécurité perçue provient du nombre relativement faible de systèmes Linux, mais les cybercriminels commencent-ils à voir l'intérêt de choisir la qualité plutôt que la quantité ?
Chercheurs en sécurité dans des entreprises telles que Kaspersky et Blackberry, ainsi que dans des agences fédérales telles que le FBI et la NSA mettent en garde contre les auteurs de logiciels malveillants qui se concentrent de plus en plus sur Linux.
Le système d'exploitation est désormais reconnu comme une passerelle vers des données précieuses telles que les secrets commerciaux, la propriété intellectuelle et les informations personnelles. Les serveurs Linux peuvent également être utilisés comme point de transit pour l'infection de réseaux plus larges remplis d'appareils Windows, macOS et Android.
Même si ce n'est pas le système d'exploitation qui s'exécute sur votre ordinateur de bureau ou portable, vos données sont susceptibles d'être exposées à Linux tôt ou tard. Vos fournisseurs de stockage en nuage, de VPN et de messagerie, ainsi que votre employeur, votre assureur maladie, les services gouvernementaux ou votre université, utilisent presque certainement Linux dans le cadre de leurs réseaux, et il est probable que vous possédez ou posséderez un Internet Of Appareil Things (IoT) maintenant ou dans le futur.
Plusieurs menaces ont été découvertes au cours des 12 derniers mois. Certains sont des logiciels malveillants Windows connus portés sur Linux, tandis que d'autres sont restés non détectés sur des serveurs pendant près d'une décennie, ce qui montre à quel point les équipes de sécurité ont sous-estimé le risque.
De nombreux administrateurs système peuvent supposer que leur organisation n'est pas suffisamment importante pour être une cible. Cependant, même si votre réseau n'est pas un gros lot, vos fournisseurs ou clients pourraient s'avérer plus tentants, et accéder à votre système, via une attaque de phishing, par exemple, peut être une première étape pour infiltrer le leur. Il vaut donc la peine d'évaluer comment vous protégez votre système.
Voici notre récapitulatif des menaces identifiées au cours de l'année écoulée.
Les chercheurs de Kaspersky ont révélé en novembre que ce cheval de Troie avait été porté sous Linux en tant qu'exécutable. La victime se retrouve avec des fichiers cryptés avec un chiffrement AES 256 bits et des instructions pour contacter les auteurs du logiciel malveillant afin de récupérer leurs données.
La version Windows a attaqué des cibles importantes en 2020, notamment Konica Minolta, le ministère des Transports du Texas et le système judiciaire brésilien.
RansomEXX est spécifiquement adapté à chaque victime, le nom de l'organisation étant inclus à la fois dans l'extension de fichier crypté et dans l'adresse e-mail sur la demande de rançon.
Gitpaste-12 est un nouveau ver qui infecte les serveurs x86 et les appareils IoT exécutant Linux. Il tire son nom de son utilisation de GitHub et Pastebin pour télécharger du code et de ses 12 méthodes d'attaque.
Le ver peut désactiver AppArmor, SELinux, les pare-feu et d'autres défenses, ainsi qu'installer un mineur de crypto-monnaie.
Connu sur Windows depuis mai 2019, une nouvelle version de ce botnet capable de s'attaquer à Linux a été découverte en septembre. Il désarme le tueur de mémoire insuffisante de Linux pour continuer à fonctionner et tue les processus de sécurité qui pourraient l'empêcher de fonctionner.
L'édition Linux est livrée avec des fonctionnalités supplémentaires telles que l'utilisation de SSH pour trouver des cibles, exploiter les services de jeux Steam et explorer des sites Web pornographiques pour usurper les clics sur les publicités.
Il a également le goût d'infecter les appareils Android connectés via Android Debug Bridge (ADB).
Le FBI et la NSA ont mis en évidence ce rootkit dans un avertissement en août. Il peut échapper aux administrateurs et aux logiciels antivirus, exécuter des commandes root et permettre aux pirates de charger et de télécharger des fichiers. Selon les deux agences, Drovorub est l'œuvre de Fancy Bear, un groupe de hackers qui travaille pour le gouvernement russe.
L'infection est difficile à détecter, mais la mise à niveau vers au moins le noyau 3.7 et le blocage des modules du noyau non approuvés devraient aider à l'éviter.
Le bot de minage de chiffrement malveillant Lucifer et de déni de service distribué est apparu pour la première fois sur Windows en juin et sur Linux en août. L'incarnation Linux de Lucifer permet des attaques DDoS basées sur HTTP ainsi que sur TCP, UCP et ICMP.
Cette nouvelle souche de la famille de malwares Turla Penquin a été révélée par des chercheurs en mai. C'est une porte dérobée qui permet aux attaquants d'intercepter le trafic réseau et d'exécuter des commandes sans acquérir root.
Kaspersky a découvert que l'exploit s'exécutait sur des dizaines de serveurs aux États-Unis et en Europe en juillet.
Doki est un outil de porte dérobée qui cible principalement les serveurs Docker mal configurés pour installer des crypto-mineurs.
Alors que les logiciels malveillants contactent généralement des adresses IP ou des URL prédéterminées pour recevoir des instructions, les créateurs de Doki ont mis en place un système dynamique qui utilise l'API Dogecoin crypto blockchain. Cela rend difficile la suppression de l'infrastructure de commande car les opérateurs de logiciels malveillants peuvent changer le serveur de contrôle avec une seule transaction Dogecoin.
Pour éviter Doki, vous devez vous assurer que votre interface de gestion Docker est correctement configurée.
TrickBot est un cheval de Troie bancaire, utilisé pour les attaques de rançongiciels et le vol d'identité, qui est également passé de Windows à Linux. Anchor_DNS, l'un des outils utilisés par le groupe à l'origine de TrickBot, est apparu dans une déclinaison Linux en juillet.
Anchor_Linux agit comme une porte dérobée et se propage généralement via des fichiers zip. Le malware met en place un cron tâche et contacte un serveur de contrôle via des requêtes DNS.
En relation :Comment repérer un e-mail de phishing
Le cheval de Troie Tycoon se propage généralement sous la forme d'un environnement d'exécution Java compromis dans une archive zip. Les chercheurs l'ont découvert en juin, fonctionnant à la fois sur les systèmes Windows et Linux des petites et moyennes entreprises ainsi que sur les établissements d'enseignement. Il crypte les fichiers et exige le paiement d'une rançon.
Ce rootkit détourne Netfilter pour masquer les commandes et le vol de données parmi le trafic Web normal afin de contourner les pare-feu.
Identifié pour la première fois sur le cloud Amazon Web Services en février, le système peut être utilisé pour contrôler les logiciels malveillants sur n'importe quel serveur derrière n'importe quel pare-feu.
Toujours en février, des chercheurs de Trend Micro ont découvert que PowerGhost était passé de Windows à Linux. Il s'agit d'un mineur de crypto-monnaie sans fichier qui peut ralentir votre système et dégrader le matériel en raison d'une usure accrue.
La version Linux peut désinstaller ou tuer les produits anti-malware et reste active à l'aide d'une tâche cron. Il peut installer d'autres logiciels malveillants, obtenir un accès root et se propager sur les réseaux à l'aide de SSH.
Depuis que ce botnet peer-to-peer (P2P) a été identifié pour la première fois en janvier 2020, 20 autres versions ont été trouvées. Les victimes incluent les gouvernements, les universités, les centres médicaux et les banques.
Fritzfrog est un logiciel malveillant sans fichier, un type de menace qui vit dans la RAM plutôt que sur votre disque dur et exploite les vulnérabilités des logiciels existants pour faire son travail. Au lieu de serveurs, il utilise le P2P pour envoyer des communications SSH cryptées afin de coordonner les attaques sur différentes machines, de se mettre à jour et de s'assurer que le travail est réparti uniformément sur le réseau.
Bien qu'il soit sans fichier, Fritzfrog crée une porte dérobée à l'aide d'une clé SSH publique pour autoriser l'accès à l'avenir. Les informations de connexion des machines compromises sont ensuite enregistrées sur le réseau.
Des mots de passe forts et une authentification par clé publique offrent une protection contre cette attaque. Changer votre port SSH ou désactiver l'accès SSH si vous ne l'utilisez pas est également une bonne idée.
FinFisher vend FinSpy, associé à l'espionnage des journalistes et des militants, comme une solution de surveillance prête à l'emploi pour les gouvernements. Précédemment vu sur Windows et Android, Amnesty International a découvert une version Linux du logiciel malveillant en novembre 2019.
FinSpy permet l'écoute du trafic, l'accès aux données privées et l'enregistrement de vidéos et d'audio à partir d'appareils infectés.
Il a été rendu public en 2011 lorsque des manifestants ont trouvé un contrat pour l'achat de FinSpy dans les bureaux du brutal service de sécurité égyptien après le renversement du président Moubarak.
Bien que les utilisateurs de Linux ne soient peut-être pas aussi vulnérables à autant de menaces de sécurité que les utilisateurs de Windows, il ne fait aucun doute que la valeur et le volume de données détenues par les systèmes Linux rendent la plate-forme plus attrayante pour les cybercriminels.
Si le FBI et la NSA sont inquiets, alors les commerçants indépendants ou les petites entreprises utilisant Linux devraient commencer à accorder plus d'attention à la sécurité maintenant s'ils veulent éviter de devenir des dommages collatéraux lors de futures attaques contre de plus grandes organisations.
Voici nos conseils pour vous protéger de la liste croissante des logiciels malveillants Linux :
