ESET révèle 12 backdoors Linux inconnues à ce jour

Prochain article

ESET, éditeur européen leader en solutions de cybersécurité, a découvert 12 familles de codes malveillants pour Linux jamais identifiées auparavant. Il s’agit de portes dérobées d’ores et déjà largement utilisées par des acteurs malveillants et des groupes APT suivis par les chercheurs ESET.

Techniquement, ces portes dérobées sont basées sur OpenSSH, le moyen de connexion et d’administration à distance le plus populaire parmi les serveurs Linux, qu’ils soient virtuels, dans le Cloud ou dédiés. Et parce que 37% des serveurs Linux accessibles depuis Internet fonctionnent sous Linux, OpenSSH est de facto la cible idéale pour des acteurs malveillants toujours en recherche de machines à contrôler.

Le rapport publié par les chercheurs ESET, “The Dark Side of the ForSSHe”, décrit la traque qui a conduit à la détection de ces nouvelles familles de malwares (notamment la mise en œuvre de serveurs dits « pots de miel » personnalisés, et l’analyse des diverses souches remontées). Il offre ainsi une vision sur l’État de l’Art de l’usage des portes dérobées OpenSSH par les cybercriminels.

Lors de cette analyse, plusieurs astuces intéressantes mises en œuvre par les criminels ont été révélées. Ainsi, l’une de ces nouvelles familles de backdoors implémente plusieurs façons de communiquer avec son serveur de contrôle (C&C). Elle peut utiliser indifféremment des connexions HTTP traditionnelles, du TCP pur ou encore passer par le protocole DNS. Encore plus original, d’autres sont en mesure de recevoir des commandes dissimulées dans les mots de passe SSH, ou encore embarquent des fonctions de minage de cryptomonnaies.

Pour Marc-Étienne Léveillé, chercheur senior chez ESET et chargé de cette étude, ces nouvelles menaces ne sont pas anodines : « J’entends parfois dire que Linux est plus sûr que d’autres systèmes d’exploitation, voire qu’il serait immunisé contre les malwares. Mais les menaces qui pèsent sur Linux ne sont pas moins sérieuses que les autres, et nous consacrons d’importantes ressources afin de les étudier et d’améliorer la protection des systèmes Linux »

Cette nouvelle étude s’appuie sur des éléments issus de l’enquête menée en 2013 sur le botnet « Operation Windigo », dans laquelle les chercheurs ESET avaient mis à jour un réseau complexe composé de 25 000 serveurs Linux, qu’ils avaient contribué à neutraliser (voir à ce sujet le rapport complet de cette investigation).

L’un des éléments-clés issus de Windigo était une porte dérobée OpenSSH baptisée Ebury. Les chercheurs ESET avaient alors remarqué que ses opérateurs vérifiaient au moment de son installation la présence d’autres backdoors OpenSSH.

Comme les portes dérobées OpenSSH étaient un domaine relativement méconnu à l’époque, les chercheurs ESET ont donc décidé d’approfondir le sujet et d’aller à leur recherche, ce qui a conduit à la découverte actuelle.

Afin de protéger les systèmes Linux, ESET recommande les actions suivantes :

  • Conservez les systèmes à jour de leurs correctifs
  • Préférez une authentification par clé publique/privée pour SSH
  • Interdisez les connexions distantes à l’utilisateur root
  • Mettez en œuvre une solution d’authentification à plusieurs facteurs (dite forte) pour SSH

« Nous espérons que ces découvertes vont faciliter à l’avenir la prévention, la détection et la remédiation des prochaines attaques basées sur OpenSSH. Les serveurs compromis sont un cauchemar en termes de cybersécurité, mais si les administrateurs système et les chercheurs en cybersécurité travaillent de concert, ils pourront lutter contre le fléau des malwares serveur »

CONTACT PRESSE :
Darina Santamaria +33 01 86 27 00 39 – 06 61 08 42 45 - darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms.

À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 600 millions de postes dans le monde.
Pour plus d’informations :  www.eset.com/na/  Blog :  www.welivesecurity.com/fr/