IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes d'APT


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Journaliste
    Inscrit en
    Janvier 2020
    Messages
    196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Journaliste
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2020
    Messages : 196
    Points : 13 695
    Points
    13 695
    Par défaut Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes d'APT
    Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes de menaces persistantes avancées (APT),
    d'après une étude réalisée par Kaspersky

    Par rapport à d'autres systèmes d'exploitation, en particulier Windows, Linux est le choix de nombreuses organisations pour leurs serveurs et systèmes d'importance stratégique depuis plusieurs années. La raison en est que les utilisateurs estiment que Linux est plus fiable et qu'il est moins vulnérable aux cybermenaces.

    Par contre, cette fiabilité ne concerne que les attaques massives de logiciels malveillants, car les serveurs Linux ne sont plus rassurants en ce qui concerne les menaces persistantes avancées (APT). Des chercheurs de Kaspersky ont en effet constaté une tendance qui fait que de plus en plus d'acteurs de la menace effectuent des attaques ciblées contre des appareils basés sur Linux. Dans le même temps, ils développent davantage d’outils basés sur Linux.

    Nom : APT linux.PNG
Affichages : 46527
Taille : 220,2 Ko

    Depuis 2002 environ, des logiciels malveillants pour Linux ou certains modules basés sur Linux sont utilisés par de nombreux acteurs de l'APT. Ces derniers sont des groupes de menace bien connus, dont Barium, Sofacy, Lamberts et Equation, ainsi que des groupes plus récents tels que LightSpy de TwoSail Junk et WellMess. Grâce aux divers arsenaux dont ils disposent et aux outils Linux, ces acteurs de la menace ont pu mener des opérations de manière plus efficace et avec une plus grande portée.

    Alors que les grandes entreprises et les entités gouvernementales de plusieurs pays se sont davantage consacrées à l'utilisation de Linux comme environnement de bureau, les acteurs de la menace ont plutôt développé des logiciels malveillants dédiés à cette plate-forme. Étant l'un des systèmes les moins populaires, Linux ne risque pas d'être une cible pour les logiciels malveillants. Il suscite en revanche des risques supplémentaires en termes de cybersécurité. Certes, il est peu fréquent que des attaques ciblées soient lancées contre des systèmes basés sur Linux, cependant des logiciels malveillants ont certainement été développés pour ces systèmes. Parmi ces programmes, il y a les webshells, les backdoors ou les rootkits.

    Certaines personnes se sont trompées par le faible nombre d'attaques. Elles ignorent notamment que les attaques visant un serveur fonctionnant sous Linux entraînent généralement de graves conséquences. Cela donne aux attaquants la possibilité d'accéder à l'appareil infecté, ainsi qu'aux terminaux fonctionnant sous Windows ou MacOS. Une fois sur ces points d'extrémité atteints, ces attaquants pourront également bénéficier d'un accès encore plus large à l'appareil, sans même se faire remarquer.

    À titre d'exemple, le groupe russophone « Turla », très célèbre en raison de ses tactiques d'exfiltration secrètes. Ce groupe a apporté des modifications significatives à ses outils tout au long des années, parmi lesquelles l'utilisation de backdoors sous Linux. Conformément à la télémétrie de Kaspersky, une toute nouvelle modification des backdoors Linux Penguin_x64, signalée plus tôt en 2020, a infecté des dizaines de serveurs en Europe et aux États-Unis. La plus récente a été signalée en juillet 2020.

    À part Turla, il y a aussi le groupe APT baptisé « Lazarus », qui ne cesse de diversifier ses outils ainsi que de développer des logiciels malveillants non Windows. Au cours de ses campagnes « OperationAppleJeus » et « TangoDaiwbo », Lazarus a recouru à un cadre multiplateforme appelé MATA au mois de juin 2020 afin de mener des attaques financières, mais aussi des attaques d'espionnage.

    « La tendance à l'amélioration des outils APT a été identifiée par nos experts à de nombreuses reprises dans le passé, et les outils axés sur Linux ne font pas exception. Dans le but de sécuriser leurs systèmes, les services informatiques et de sécurité utilisent Linux plus souvent qu'auparavant. Les acteurs de la menace réagissent à cette évolution en créant des outils sophistiqués capables de pénétrer ces systèmes. Nous conseillons aux experts en cybersécurité de tenir compte de cette tendance et de mettre en œuvre des mesures supplémentaires pour protéger leurs serveurs et leurs postes de travail », a indiqué YuryNamestnikov, responsable de l'équipe de recherche et d'analyse globale (GReAT) de Kaspersky en Russie.

    Les chercheurs de Kaspersky ont recommandé la mise en œuvre de quelques mesures pour éviter d’être victime d’une attaque ciblée sur Linux par un hacker, qu’il soit connu ou pas. D’après eux, les utilisateurs devraient notamment :
    • « tenir à jour une liste de sources logicielles fiables et éviter d’utiliser des canaux de mise à jour non chiffrés » ;
    • « ne pas exécuter de binaires et de scripts à partir de sources non fiables » ;
    • « s’assurer que la procédure de mise à jour est efficace et configurer des mises à jour de sécurité automatiques » ;
    • « passer du temps à configurer correctement leur pare-feu, s’assurer qu’il enregistre l’activité du réseau, bloquer les ports non utilisés et minimiser l’empreinte de son réseau » ;
    • « utiliser l’authentification SSH par clé et protéger les clés avec des mots de passe » ;
    • « utiliser l’authentification à deux facteurs (2FA) et stocker les clés sensibles sur des périphériques à jetons externes (par exemple Yubikey) » ;
    • « utiliser une prise réseau hors bande pour surveiller et analyser de manière indépendante les communications réseau de ses systèmes Linux » ;
    • « maintenir l’intégrité des fichiers exécutables du système et examiner régulièrement les modifications des fichiers de configuration » ;
    • « être prêt à faire face à des attaques physiques ou d'initiés : utiliser le cryptage intégral du disque, des amorces sûres et fiables et placer des bandes de sécurité inviolables sur le matériel critique » ;
    • « examiner le système et vérifier les journaux pour détecter des indicateurs d'attaque » ;
    • « effectuer des tests de pénétration sur son installation Linux » ;
    • « utiliser une solution de sécurité dédiée avec protection Linux, telle que la sécurité intégrée des points finaux. Cette solution offre une protection du web et du réseau pour détecter le phishing, les sites web malveillants et les attaques de réseau, ainsi qu'un contrôle des appareils, permettant aux utilisateurs de définir des règles pour le transfert de données vers d'autres appareils ».

    Source : Kaspersky

    Et vous ?

    Que pensez-vous de cette étude ?

    Voir aussi :

    Microsoft soumet des correctifs pour le noyau Linux afin de permettre l'utilisation complète d'Hyper-V sur Linux, Linux sur Azure pourrait à l'avenir ne plus avoir besoin de Windows
    Deepin Linux 20 stable est disponible et en cela attise encore plus la curiosité sur UOS Linux, le nouvel OS chinois capable de démarrer en 30 s sur des CPU locaux et destiné à remplacer Windows
    Linux 5.8 est disponible et permet d'avoir différents montages de procfs avec des options de montage différentes, et d'utiliser pidfds pour s'attacher aux espaces de noms d'un processus
    Linux (5.8) intègre désormais un guide terminologique inclusif qui bannit l'usage de termes comme slave et blacklist, pour lutter contre le racisme dans le monde de l'informatique
    YubiKey 5C NFC : la nouvelle clé de sécurité de Yubico, avec double connexion USB-C et NFC et prise en charge plusieurs protocoles d'authentification, dont smart card et FIDO

  2. #2
    Expert éminent sénior Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 276
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 276
    Points : 13 553
    Points
    13 553
    Par défaut
    Bonjour

    N'y a-t-il pas quelque chose de malveillant à appeler APT, les menaces persistantes avancées ( = Advanced Persistent Threats, j'imagine) dans le monde Linux, alors que apt est le module d'installation des logiciels, dans certaines distributions Linux ?

  3. #3
    Membre du Club
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    Septembre 2020
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Chercheur en informatique

    Informations forums :
    Inscription : Septembre 2020
    Messages : 13
    Points : 46
    Points
    46
    Par défaut Qui a pété APT ?!
    @Flodelarab : en effet, Advanced Packaging Tool (Debian) pourrait être confondu...
    Et en langage oiseau, A P T fait : "a pété". C'est suspect... Désolé.

  4. #4
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    490
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 73
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 490
    Points : 1 380
    Points
    1 380
    Billets dans le blog
    1
    Par défaut
    Encore une pub. Déjà le deuxième article en moins de 2 semaines, je trouve cela déplacé, les recommandations sont bien formulées comme si l'on était sur le system windows, en lisant je m'aperçois que l'article fait et montre que l'on ne connaît pas linux, surtout en tant qu'administrateur. ENCORE UN TROLL

    reprise de l'article précedent.
    https://www.developpez.net/forums/d2091287/systemes/securite/systemes-linux-plus-plus-pris-cible-pirates-selon-kaspersky/


    Maintenir une liste de sources de logiciels fiables et éviter d'utiliser des canaux de mise à jour non cryptés

    N'exécutez pas de binaires et de scripts provenant de sources non fiables. Les moyens largement annoncés pour installer des programmes avec des commandes comme "curl https://install-url | sudo bash" posent un vrai problème en matière de sécurité
    Assurez-vous que votre procédure de mise à jour est efficace et mettez en place des mises à jour de sécurité automatiques
    Prenez le temps de configurer correctement votre pare-feu : assurez-vous qu'il enregistre l'activité du réseau, bloquez tous les ports que vous n'utilisez pas et réduisez votre empreinte sur le réseau
    Utilisez l'authentification SSH basée sur les clés et protéger les clés par des mots de passe
    Utilisez la 2FA (authentification à deux facteurs) et stocker les clés sensibles sur des dispositifs à jeton externes (par exemple Yubikey)
    Utilisez une prise réseau hors bande pour surveiller et analyser de manière indépendante les communications réseau de vos systèmes Linux
    Maintenez l'intégrité du fichier exécutable du système et revoir régulièrement les modifications du fichier de configuration
    Soyez prêt à faire face à des attaques physiques ou d'initiés : utilisez le cryptage intégral du disque, des amorces sûres et fiables et placez des bandes de sécurité inviolables sur votre matériel critique.
    Auditez le système et vérifier les journaux pour détecter des indicateurs d'attaque
    Effectuez des tests de pénétration sur votre installation Linux
    Utilisez une solution de sécurité dédiée avec protection Linux, telle que la sécurité intégrée des points d'extrémité. Cette solution offre une protection du web et du réseau pour détecter le phishing, les sites web malveillants et les attaques de réseau, ainsi qu'un contrôle des appareils, permettant aux utilisateurs de définir des règles pour le transfert de données vers d'autres appareils
    Kaspersky Hybrid Cloud Security permet la protection des DevOps, permettant l'intégration de la sécurité dans les plateformes et les conteneurs de CI/CD, et le balayage des images contre les attaques de la chaîne d'approvisionnement

    A quand la chronique sur Windows , puis sur MAC bref que du bal bla

    rapel : kaspersky est devenu un monstre qui parfois laisse des portes ouverte afin de continuer d'exister voir certain article publier dans divers journaux et la condamnation etc....

    quand a WIndows pas besoin kaspersky l'antivirus de Windows fait correctement son job, de plus bien paramétré le system peut être fiable.

  5. #5
    Membre régulier
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    82
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 82
    Points : 114
    Points
    114
    Par défaut
    J'adore les conseil type "configurer votre parefeu" ou "n'exécutez pas n'importe quoi" ... , merci les gars °)
    Les attaques sur des serveurs linux ont toujours existées, c'est juste qu'un fail2ban, un détecteur de rootkit et un peu de bon sens sont suffisants pour la majorité des serveurs, si bien sûr l'admin ne donne pas le pass root à tout le monde et qu'il sait configurer un parefeu, ce qui est souvent le cas pour les admin linux, pour les admin windows, je ne sais pas, j'imagine que c'est beaucoup plus compliqué ...

  6. #6
    Membre à l'essai
    Homme Profil pro
    Bidouilleur Système
    Inscrit en
    Janvier 2016
    Messages
    12
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Bidouilleur Système
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Janvier 2016
    Messages : 12
    Points : 14
    Points
    14
    Par défaut
    Oui de toutes les façons moi je n'ai peur de rien sur mon wondo: pas besoin de sudo bash je suis admin depuis l'installation car mon compte outlook.com fait tout, et pi petit rapel: je suis le patron d'une societe d'antivirus qui se permet de menacer tout l'establishment au moindres menaces de redressement fiscal ou de saisie de mon ilot, surtout ne voyez rien de politique Ã* tout cela...

  7. #7
    Membre régulier
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    82
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 82
    Points : 114
    Points
    114
    Par défaut
    Citation Envoyé par niéslojni_oum Voir le message
    pas besoin de sudo bash je suis admin depuis l'installation car mon compte outlook.com fait tout
    Du coup je dirais que c'est plutôt outlook l'admin de ta bécanne ...

  8. #8
    Membre averti
    Homme Profil pro
    jardinier
    Inscrit en
    Avril 2018
    Messages
    199
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : jardinier

    Informations forums :
    Inscription : Avril 2018
    Messages : 199
    Points : 411
    Points
    411
    Par défaut rappel
    Personnellement je ne me permet pas de railler, peut-être par manque d'expérience, mais connaissant l'existence d'iptables je me dis qu'effectivement, trouver la bonne définition des règles sur un serveur des droits de chaque usager n'est pas de tout repos. Mais peut-être utilisez-vous ufw?

  9. #9
    Membre à l'essai
    Homme Profil pro
    Webmaster
    Inscrit en
    Février 2021
    Messages
    9
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : Février 2021
    Messages : 9
    Points : 13
    Points
    13
    Par défaut
    personnellement mnt faut pas s'étonné les faille existe depuis des année puis restons honnête depuis la facilité de construire des site commerçant ou autre grâce as des logicielle dans un seul noyeau et précodé dont le noyeau de securité est imcorporé et en plus le noyaux pas crypter faut vraiement pas s'étonné en agence on vous parle de wordpress joomla etc on utilise tous les meme logicielle meme code celui qui n'as pas de notion de securité et c'est bien souvent le cas mnt puisque n'importe qui peu ouvrir un commerce en ligne mnt le cryptage des carte elle ne peuve pas être dupliquer la bonne raison c'est le check controle qui corespond a l'identification de votre derniere transaction regraver a chaque fois sur votre carte banquaire cependant une faille il suffissait de faire croire par un proceder a la carte que c'etait une transaction hors pour debiter pq en realité cepandant des faille on été relvé depuis bien longtemps au niveau des puce emv ou autre c'est pasd u récentout çà mais aujourd'hu plus rien en réalté n'est sécurisé comme il devrait l'etre mnt c'est juse du travail baclé rapide et production pour l'argent

Discussions similaires

  1. Réponses: 5
    Dernier message: 21/09/2016, 21h32
  2. Réponses: 0
    Dernier message: 09/12/2015, 12h15
  3. Les serveurs du noyau Linux compromis par un malware
    Par Hinault Romaric dans le forum Linux
    Réponses: 13
    Dernier message: 11/09/2011, 20h12
  4. Réponses: 4
    Dernier message: 11/10/2009, 12h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo