Discussion :

[Axel Lecomte]

Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes de menaces persistantes avancées (APT),
d'après une étude réalisée par Kaspersky

Par rapport à d'autres systèmes d'exploitation, en particulier Windows, Linux est le choix de nombreuses organisations pour leurs serveurs et systèmes d'importance stratégique depuis plusieurs années. La raison en est que les utilisateurs estiment que Linux est plus fiable et qu'il est moins vulnérable aux cybermenaces.

Par contre, cette fiabilité ne concerne que les attaques massives de logiciels malveillants, car les serveurs Linux ne sont plus rassurants en ce qui concerne les menaces persistantes avancées (APT). Des chercheurs de Kaspersky ont en effet constaté une tendance qui fait que de plus en plus d'acteurs de la menace effectuent des attaques ciblées contre des appareils basés sur Linux. Dans le même temps, ils développent davantage d’outils basés sur Linux.

Depuis 2002 environ, des logiciels malveillants pour Linux ou certains modules basés sur Linux sont utilisés par de nombreux acteurs de l'APT. Ces derniers sont des groupes de menace bien connus, dont Barium, Sofacy, Lamberts et Equation, ainsi que des groupes plus récents tels que LightSpy de TwoSail Junk et WellMess. Grâce aux divers arsenaux dont ils disposent et aux outils Linux, ces acteurs de la menace ont pu mener des opérations de manière plus efficace et avec une plus grande portée.

Alors que les grandes entreprises et les entités gouvernementales de plusieurs pays se sont davantage consacrées à l'utilisation de Linux comme environnement de bureau, les acteurs de la menace ont plutôt développé des logiciels malveillants dédiés à cette plate-forme. Étant l'un des systèmes les moins populaires, Linux ne risque pas d'être une cible pour les logiciels malveillants. Il suscite en revanche des risques supplémentaires en termes de cybersécurité. Certes, il est peu fréquent que des attaques ciblées soient lancées contre des systèmes basés sur Linux, cependant des logiciels malveillants ont certainement été développés pour ces systèmes. Parmi ces programmes, il y a les webshells, les backdoors ou les rootkits.

Certaines personnes se sont trompées par le faible nombre d'attaques. Elles ignorent notamment que les attaques visant un serveur fonctionnant sous Linux entraînent généralement de graves conséquences. Cela donne aux attaquants la possibilité d'accéder à l'appareil infecté, ainsi qu'aux terminaux fonctionnant sous Windows ou MacOS. Une fois sur ces points d'extrémité atteints, ces attaquants pourront également bénéficier d'un accès encore plus large à l'appareil, sans même se faire remarquer.

À titre d'exemple, le groupe russophone « Turla », très célèbre en raison de ses tactiques d'exfiltration secrètes. Ce groupe a apporté des modifications significatives à ses outils tout au long des années, parmi lesquelles l'utilisation de backdoors sous Linux. Conformément à la télémétrie de Kaspersky, une toute nouvelle modification des backdoors Linux Penguin_x64, signalée plus tôt en 2020, a infecté des dizaines de serveurs en Europe et aux États-Unis. La plus récente a été signalée en juillet 2020.

À part Turla, il y a aussi le groupe APT baptisé « Lazarus », qui ne cesse de diversifier ses outils ainsi que de développer des logiciels malveillants non Windows. Au cours de ses campagnes « OperationAppleJeus » et « TangoDaiwbo », Lazarus a recouru à un cadre multiplateforme appelé MATA au mois de juin 2020 afin de mener des attaques financières, mais aussi des attaques d'espionnage.

« La tendance à l'amélioration des outils APT a été identifiée par nos experts à de nombreuses reprises dans le passé, et les outils axés sur Linux ne font pas exception. Dans le but de sécuriser leurs systèmes, les services informatiques et de sécurité utilisent Linux plus souvent qu'auparavant. Les acteurs de la menace réagissent à cette évolution en créant des outils sophistiqués capables de pénétrer ces systèmes. Nous conseillons aux experts en cybersécurité de tenir compte de cette tendance et de mettre en œuvre des mesures supplémentaires pour protéger leurs serveurs et leurs postes de travail », a indiqué YuryNamestnikov, responsable de l'équipe de recherche et d'analyse globale (GReAT) de Kaspersky en Russie.

Les chercheurs de Kaspersky ont recommandé la mise en œuvre de quelques mesures pour éviter d’être victime d’une attaque ciblée sur Linux par un hacker, qu’il soit connu ou pas. D’après eux, les utilisateurs devraient notamment :

• « tenir à jour une liste de sources logicielles fiables et éviter d’utiliser des canaux de mise à jour non chiffrés » ;
• « ne pas exécuter de binaires et de scripts à partir de sources non fiables » ;
• « s’assurer que la procédure de mise à jour est efficace et configurer des mises à jour de sécurité automatiques » ;
• « passer du temps à configurer correctement leur pare-feu, s’assurer qu’il enregistre l’activité du réseau, bloquer les ports non utilisés et minimiser l’empreinte de son réseau » ;
• « utiliser l’authentification SSH par clé et protéger les clés avec des mots de passe » ;
• « utiliser l’authentification à deux facteurs (2FA) et stocker les clés sensibles sur des périphériques à jetons externes (par exemple Yubikey) » ;
• « utiliser une prise réseau hors bande pour surveiller et analyser de manière indépendante les communications réseau de ses systèmes Linux » ;
• « maintenir l’intégrité des fichiers exécutables du système et examiner régulièrement les modifications des fichiers de configuration » ;
• « être prêt à faire face à des attaques physiques ou d'initiés : utiliser le cryptage intégral du disque, des amorces sûres et fiables et placer des bandes de sécurité inviolables sur le matériel critique » ;
• « examiner le système et vérifier les journaux pour détecter des indicateurs d'attaque » ;
• « effectuer des tests de pénétration sur son installation Linux » ;
• « utiliser une solution de sécurité dédiée avec protection Linux, telle que la sécurité intégrée des points finaux. Cette solution offre une protection du web et du réseau pour détecter le phishing, les sites web malveillants et les attaques de réseau, ainsi qu'un contrôle des appareils, permettant aux utilisateurs de définir des règles pour le transfert de données vers d'autres appareils ».

Source : Kaspersky

Et vous ?

Que pensez-vous de cette étude ?

Voir aussi :

Microsoft soumet des correctifs pour le noyau Linux afin de permettre l'utilisation complète d'Hyper-V sur Linux, Linux sur Azure pourrait à l'avenir ne plus avoir besoin de Windows
Deepin Linux 20 stable est disponible et en cela attise encore plus la curiosité sur UOS Linux, le nouvel OS chinois capable de démarrer en 30 s sur des CPU locaux et destiné à remplacer Windows
Linux 5.8 est disponible et permet d'avoir différents montages de procfs avec des options de montage différentes, et d'utiliser pidfds pour s'attacher aux espaces de noms d'un processus
Linux (5.8) intègre désormais un guide terminologique inclusif qui bannit l'usage de termes comme slave et blacklist, pour lutter contre le racisme dans le monde de l'informatique
YubiKey 5C NFC : la nouvelle clé de sécurité de Yubico, avec double connexion USB-C et NFC et prise en charge plusieurs protocoles d'authentification, dont smart card et FIDO

[Flodelarab]

Bonjour

N'y a-t-il pas quelque chose de malveillant à appeler APT, les menaces persistantes avancées ( = Advanced Persistent Threats, j'imagine) dans le monde Linux, alors que apt est le module d'installation des logiciels, dans certaines distributions Linux ?

[Jon.D0S]

@Flodelarab : en effet, Advanced Packaging Tool (Debian) pourrait être confondu...
Et en langage oiseau, A P T fait : "a pété". C'est suspect... Désolé.

[JPLAROCHE]

Encore une pub. Déjà le deuxième article en moins de 2 semaines, je trouve cela déplacé, les recommandations sont bien formulées comme si l'on était sur le system windows, en lisant je m'aperçois que l'article fait et montre que l'on ne connaît pas linux, surtout en tant qu'administrateur. ENCORE UN TROLL

reprise de l'article précedent.
https://www.developpez.net/forums/d2091287/systemes/securite/systemes-linux-plus-plus-pris-cible-pirates-selon-kaspersky/

Maintenir une liste de sources de logiciels fiables et éviter d'utiliser des canaux de mise à jour non cryptés

N'exécutez pas de binaires et de scripts provenant de sources non fiables. Les moyens largement annoncés pour installer des programmes avec des commandes comme "curl https://install-url | sudo bash" posent un vrai problème en matière de sécurité
Assurez-vous que votre procédure de mise à jour est efficace et mettez en place des mises à jour de sécurité automatiques
Prenez le temps de configurer correctement votre pare-feu : assurez-vous qu'il enregistre l'activité du réseau, bloquez tous les ports que vous n'utilisez pas et réduisez votre empreinte sur le réseau
Utilisez l'authentification SSH basée sur les clés et protéger les clés par des mots de passe
Utilisez la 2FA (authentification à deux facteurs) et stocker les clés sensibles sur des dispositifs à jeton externes (par exemple Yubikey)
Utilisez une prise réseau hors bande pour surveiller et analyser de manière indépendante les communications réseau de vos systèmes Linux
Maintenez l'intégrité du fichier exécutable du système et revoir régulièrement les modifications du fichier de configuration
Soyez prêt à faire face à des attaques physiques ou d'initiés : utilisez le cryptage intégral du disque, des amorces sûres et fiables et placez des bandes de sécurité inviolables sur votre matériel critique.
Auditez le système et vérifier les journaux pour détecter des indicateurs d'attaque
Effectuez des tests de pénétration sur votre installation Linux
Utilisez une solution de sécurité dédiée avec protection Linux, telle que la sécurité intégrée des points d'extrémité. Cette solution offre une protection du web et du réseau pour détecter le phishing, les sites web malveillants et les attaques de réseau, ainsi qu'un contrôle des appareils, permettant aux utilisateurs de définir des règles pour le transfert de données vers d'autres appareils
Kaspersky Hybrid Cloud Security permet la protection des DevOps, permettant l'intégration de la sécurité dans les plateformes et les conteneurs de CI/CD, et le balayage des images contre les attaques de la chaîne d'approvisionnement

A quand la chronique sur Windows , puis sur MAC bref que du bal bla

rapel : kaspersky est devenu un monstre qui parfois laisse des portes ouverte afin de continuer d'exister voir certain article publier dans divers journaux et la condamnation etc....

quand a WIndows pas besoin kaspersky l'antivirus de Windows fait correctement son job, de plus bien paramétré le system peut être fiable.

[zozizozu]

J'adore les conseil type "configurer votre parefeu" ou "n'exécutez pas n'importe quoi" ... , merci les gars °)
Les attaques sur des serveurs linux ont toujours existées, c'est juste qu'un fail2ban, un détecteur de rootkit et un peu de bon sens sont suffisants pour la majorité des serveurs, si bien sûr l'admin ne donne pas le pass root à tout le monde et qu'il sait configurer un parefeu, ce qui est souvent le cas pour les admin linux, pour les admin windows, je ne sais pas, j'imagine que c'est beaucoup plus compliqué ...

[niéslojni_oum]

Oui de toutes les façons moi je n'ai peur de rien sur mon wondo: pas besoin de sudo bash je suis admin depuis l'installation car mon compte outlook.com fait tout, et pi petit rapel: je suis le patron d'une societe d'antivirus qui se permet de menacer tout l'establishment au moindres menaces de redressement fiscal ou de saisie de mon ilot, surtout ne voyez rien de politique Ã* tout cela...

[zozizozu]

pas besoin de sudo bash je suis admin depuis l'installation car mon compte outlook.com fait tout

Du coup je dirais que c'est plutôt outlook l'admin de ta bécanne ...

[ManPaq]

Personnellement je ne me permet pas de railler, peut-être par manque d'expérience, mais connaissant l'existence d'iptables je me dis qu'effectivement, trouver la bonne définition des règles sur un serveur des droits de chaque usager n'est pas de tout repos. Mais peut-être utilisez-vous ufw?

[tcorps]

personnellement mnt faut pas s'étonné les faille existe depuis des année puis restons honnête depuis la facilité de construire des site commerçant ou autre grâce as des logicielle dans un seul noyeau et précodé dont le noyeau de securité est imcorporé et en plus le noyaux pas crypter faut vraiement pas s'étonné en agence on vous parle de wordpress joomla etc on utilise tous les meme logicielle meme code celui qui n'as pas de notion de securité et c'est bien souvent le cas mnt puisque n'importe qui peu ouvrir un commerce en ligne mnt le cryptage des carte elle ne peuve pas être dupliquer la bonne raison c'est le check controle qui corespond a l'identification de votre derniere transaction regraver a chaque fois sur votre carte banquaire cependant une faille il suffissait de faire croire par un proceder a la carte que c'etait une transaction hors pour debiter pq en realité cepandant des faille on été relvé depuis bien longtemps au niveau des puce emv ou autre c'est pasd u récentout çà mais aujourd'hu plus rien en réalté n'est sécurisé comme il devrait l'etre mnt c'est juse du travail baclé rapide et production pour l'argent