Linux subit peu d’attaques de la part des logiciels malveillants, si on considére ce qui se passe sur la plateforme Windows, mais les menaces évoluent. Sus une forme ou une autre, une grande partie du web et des différents clouds publics reposent sur le système d'exploitation open source qui fait tourner les grands noms de l'Internet comme Google, Facebook et Wikipedia. Les serveurs Linux fournissent non seulement une grande partie de l’ossature d’Internet, mais le système d’exploitation est également devenu crucial pour l’Internet des objets et les terminaux Android aussi basés sur le logiciel open source (le noyau ou kernel). Tout cela fait des systèmes Linux une cible irrésistible.
Alors que les attaques visant les environnements de bureau Linux sont relativement plus rares par rapport à leurs homologues Windows, elles sont toujours là - et ne devraient pas être ignorées. Talos, l’activité renseignements sur les menaces de Cisco, a découvert une souche de logiciels malveillants baptisés GoScanSSH ciblant les serveurs SSH accessibles depuis Internet. Il est écrit en Golang - un langage de programmation relativement inhabituel pour coder les logiciels malveillants.
Serveurs Web, iPhone et Rasbperry Py ciblés
GoScanSSH semblait cibler les périphériques Linux avec des informations d'identification faibles ou par défaut, essayant de se frayer un chemin vers les serveurs avec une liste de milliers de noms d'utilisateur par défaut typiques tels que « admin », « guest », « user », ou « ubuntu ». Il s'est également attaqué à des appareils comme le Raspberry Pi, les iPhone jailbreakés et les terminaux Huawei avec des identifiants par défaut. Il est intéressant de noter que les logiciels malveillants esquiveraient spécifiquement les domaines gouvernementaux et militaires. La fonction principale de ce logiciel malveillant semble être de rechercher les dispositifs vulnérables qui pourraient être ouverts à une exploitation ultérieure par les attaquants. Il utiliserait également le service de proxy Tor2Web pour rendre l'infrastructure contrôlée par l'attaquant plus difficile à traquer et à éradiquer.
Suspecté d'avoir été développé par le groupe de piratage libanais Dark Caracal, CrossRat est signalé pour la première fois dans un rapport de recherche conjoint de Lookout et de l'Electronic Frontier Foundation. Ce malware est un logiciel espion basé sur Java, capable de modifier les fichiers système et de prendre des captures d'écran, ainsi que de copier, déplacer ou lire des fichiers. Sous Linux, CrossRat essaie d'écrire une copie de lui-même dans /usr/var/mediamgrs.jar, et si ce n'est pas possible, se copiera dans le répertoire home. Une fois intégré dans votre machine, il affiche son serveur de commandes et de contrôle via TCP. Le but du malware semble être la surveillance.
Les ransomwares s'attaquent aussi à Linux
Bien que beaucoup plus méchant sur Windows - où il peut exécuter des DLL - l'échantillon de l'EFF n'était que la version 0.1 suggérant qu'il est encore en cours de développement. Lorsqu'il a été découvert pour la première fois, seuls quelques programmes anti-malware pouvaient le détecter, ce qui a conduit certains analystes à le qualifier d’indétectable. Ce n'est pas tout à fait vrai. Comme l'écrit TWCN, sous Linux, vous pouvez rechercher un fichier de démarrage automatique, très probablement appelé mediamgrs.desktop, dans ~/.config/autostart ou tester le fichier jar, mediamgrs.jar dans /usr/var.
Un mineur de cryptomonnaie appelé RubyMiner a scanné des serveurs web à la recherche de systèmes non patchés pour exploiter et exécuter secrètement des programmes de minage. Le chercheur Stefan Tanase a déclaré au site Bleeping Computer consacré à la cybersécurité que les attaquants chercheraient la présence d’un lecteur d'empreintes digitales pour trouver des serveurs non patchés, puis les exploiter directement pour infecter le programme minier. Les serveurs Windows et Linux ont été ciblés, et une fois compromis, un script permet de télécharger et d'exécuter une version modifiée de l'application XMRig Monero, pour lancer le minage de la cryptomonnaie Monero. La société de sécurité CheckPoint a signalé que jusqu'à 30% des réseaux dans le monde entier ont subi des tentatives d’intrusion de la part de RubyMiner.
Chiffrement AES pour Erebus
En 2017, des chercheurs ont par ailleurs mis au jour une souche du ransomware Erebus qui avait commencé par infecter un serveur Linux et des PC de la société d'hébergement web sud-coréenne Nayana. 153 de ses serveurs ont été impactés ensuite. Et, une fois le réseau compromis, Erebus s'est étendu aux sites web, bases de données et fichiers multimédia hébergés par Nayana, affectant 3 400 de ses clients. Comme a pu le souligner Trend Micro, la première attaque Erebus a été signalée en septembre 2016, lorsque des bannières publicitaires avec un code malveillant ont infecté les utilisateurs avec le kit d'exploitation Rig, qui a ensuite été utilisé pour compromettre des systèmes avec des ransomwares.
Cette variante, conçue pour Linux, utilise l'algorithme RSA pour chiffrer les fichiers avec des clés AES (Advanced Encryption Standard). Il a d'abord exigé 10 bitcoins, puis cinq bitcoins. Les types de fichiers ciblés comprennent des documents bureautiques, des fichiers d'archives, des courriers électroniques, des bases de données, des projets de développement et des fichiers multimédias. Il utilise l'utilitaire Unix Cron pour vérifier si le ransomware fonctionne, et ajoute un faux service Bluetooth pour s'assurer que le malware serait exécuté dans le cas d'un redémarrage du système ou du serveur.
La prudence, mère de toutes les vertus numériques
Red Hat recommande, comme c'est souvent le cas avec les logiciels de rançon, des mesures préventives qui sont probablement les plus efficaces : maintenir les serveurs et les postes de travail à jour avec des correctifs et des sauvegardes de données, car si infection, la réinstallation d'un logiciel et la restauration des données « peut être la résolution la plus facile ».
Conçu en 2013 pour fonctionner sur 15 distributions Linux en tant que voleur de données et d'identifiants, on n'oubliera pas également de mentionner l'existence d'Hand of Thief, l'un des chevaux de Troie Linux les plus redoutables. Il avait été mis en vente par le crime organisé russe. Ce petit panorama, non exclusif, des menaces planant sur Linux montre que le système d'exploitation implanté dans presque toutes les entreprises n'est pas à l'abri d'attaques sournoises et particulièrement sophistiquées. La prudence et la prévention restent de mise.