Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes de menaces persistantes avancées (APT),
d'après une étude réalisée par Kaspersky
Par rapport à d'autres systèmes d'exploitation, en particulier Windows, Linux est le choix de nombreuses organisations pour leurs serveurs et systèmes d'importance stratégique depuis plusieurs années. La raison en est que les utilisateurs estiment que Linux est plus fiable et qu'il est moins vulnérable aux cybermenaces.
Par contre, cette fiabilité ne concerne que les attaques massives de logiciels malveillants, car les serveurs Linux ne sont plus rassurants en ce qui concerne les menaces persistantes avancées (APT). Des chercheurs de Kaspersky ont en effet constaté une tendance qui fait que de plus en plus d'acteurs de la menace effectuent des attaques ciblées contre des appareils basés sur Linux. Dans le même temps, ils développent davantage d’outils basés sur Linux.
Depuis 2002 environ, des logiciels malveillants pour Linux ou certains modules basés sur Linux sont utilisés par de nombreux acteurs de l'APT. Ces derniers sont des groupes de menace bien connus, dont Barium, Sofacy, Lamberts et Equation, ainsi que des groupes plus récents tels que LightSpy de TwoSail Junk et WellMess. Grâce aux divers arsenaux dont ils disposent et aux outils Linux, ces acteurs de la menace ont pu mener des opérations de manière plus efficace et avec une plus grande portée.
Alors que les grandes entreprises et les entités gouvernementales de plusieurs pays se sont davantage consacrées à l'utilisation de Linux comme environnement de bureau, les acteurs de la menace ont plutôt développé des logiciels malveillants dédiés à cette plate-forme. Étant l'un des systèmes les moins populaires, Linux ne risque pas d'être une cible pour les logiciels malveillants. Il suscite en revanche des risques supplémentaires en termes de cybersécurité. Certes, il est peu fréquent que des attaques ciblées soient lancées contre des systèmes basés sur Linux, cependant des logiciels malveillants ont certainement été développés pour ces systèmes. Parmi ces programmes, il y a les webshells, les backdoors ou les rootkits.
Certaines personnes se sont trompées par le faible nombre d'attaques. Elles ignorent notamment que les attaques visant un serveur fonctionnant sous Linux entraînent généralement de graves conséquences. Cela donne aux attaquants la possibilité d'accéder à l'appareil infecté, ainsi qu'aux terminaux fonctionnant sous Windows ou MacOS. Une fois sur ces points d'extrémité atteints, ces attaquants pourront également bénéficier d'un accès encore plus large à l'appareil, sans même se faire remarquer.
À titre d'exemple, le groupe russophone « Turla », très célèbre en raison de ses tactiques d'exfiltration secrètes. Ce groupe a apporté des modifications significatives à ses outils tout au long des années, parmi lesquelles l'utilisation de backdoors sous Linux. Conformément à la télémétrie de Kaspersky, une toute nouvelle modification des backdoors Linux Penguin_x64, signalée plus tôt en 2020, a infecté des dizaines de serveurs en Europe et aux États-Unis. La plus récente a été signalée en juillet 2020.
À part Turla, il y a aussi le groupe APT baptisé « Lazarus », qui ne cesse de diversifier ses outils ainsi que de développer des logiciels malveillants non Windows. Au cours de ses campagnes « OperationAppleJeus » et « TangoDaiwbo », Lazarus a recouru à un cadre multiplateforme appelé MATA au mois de juin 2020 afin de mener des attaques financières, mais aussi des attaques d'espionnage.
« La tendance à l'amélioration des outils APT a été identifiée par nos experts à de nombreuses reprises dans le passé, et les outils axés sur Linux ne font pas exception. Dans le but de sécuriser leurs systèmes, les services informatiques et de sécurité utilisent Linux plus souvent qu'auparavant. Les acteurs de la menace réagissent à cette évolution en créant des outils sophistiqués capables de pénétrer ces systèmes. Nous conseillons aux experts en cybersécurité de tenir compte de cette tendance et de mettre en œuvre des mesures supplémentaires pour protéger leurs serveurs et leurs postes de travail », a indiqué YuryNamestnikov, responsable de l'équipe de recherche et d'analyse globale (GReAT) de Kaspersky en Russie.
Les chercheurs de Kaspersky ont recommandé la mise en œuvre de quelques mesures pour éviter d’être victime d’une attaque ciblée sur Linux par un hacker, qu’il soit connu ou pas. D’après eux, les utilisateurs devraient notamment :
- « tenir à jour une liste de sources logicielles fiables et éviter d’utiliser des canaux de mise à jour non chiffrés » ;
- « ne pas exécuter de binaires et de scripts à partir de sources non fiables » ;
- « s’assurer que la procédure de mise à jour est efficace et configurer des mises à jour de sécurité automatiques » ;
- « passer du temps à configurer correctement leur pare-feu, s’assurer qu’il enregistre l’activité du réseau, bloquer les ports non utilisés et minimiser l’empreinte de son réseau » ;
- « utiliser l’authentification SSH par clé et protéger les clés avec des mots de passe » ;
- « utiliser l’authentification à deux facteurs (2FA) et stocker les clés sensibles sur des périphériques à jetons externes (par exemple Yubikey) » ;
- « utiliser une prise réseau hors bande pour surveiller et analyser de manière indépendante les communications réseau de ses systèmes Linux » ;
- « maintenir l’intégrité des fichiers exécutables du système et examiner régulièrement les modifications des fichiers de configuration » ;
- « être prêt à faire face à des attaques physiques ou d'initiés : utiliser le cryptage intégral du disque, des amorces sûres et fiables et placer des bandes de sécurité inviolables sur le matériel critique » ;
- « examiner le système et vérifier les journaux pour détecter des indicateurs d'attaque » ;
- « effectuer des tests de pénétration sur son installation Linux » ;
- « utiliser une solution de sécurité dédiée avec protection Linux, telle que la sécurité intégrée des points finaux. Cette solution offre une protection du web et du réseau pour détecter le phishing, les sites web malveillants et les attaques de réseau, ainsi qu'un contrôle des appareils, permettant aux utilisateurs de définir des règles pour le transfert de données vers d'autres appareils ».
Source : Kaspersky
Et vous ?
Que pensez-vous de cette étude ?
Voir aussi :
Microsoft soumet des correctifs pour le noyau Linux afin de permettre l'utilisation complète d'Hyper-V sur Linux, Linux sur Azure pourrait à l'avenir ne plus avoir besoin de Windows
Deepin Linux 20 stable est disponible et en cela attise encore plus la curiosité sur UOS Linux, le nouvel OS chinois capable de démarrer en 30 s sur des CPU locaux et destiné à remplacer Windows
Linux 5.8 est disponible et permet d'avoir différents montages de procfs avec des options de montage différentes, et d'utiliser pidfds pour s'attacher aux espaces de noms d'un processus
Linux (5.8) intègre désormais un guide terminologique inclusif qui bannit l'usage de termes comme slave et blacklist, pour lutter contre le racisme dans le monde de l'informatique
YubiKey 5C NFC : la nouvelle clé de sécurité de Yubico, avec double connexion USB-C et NFC et prise en charge plusieurs protocoles d'authentification, dont smart card et FIDO
Partager