Discussion :

[Sandra Coret]

Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, le plus souvent pour recruter des appareils IdO pour des attaques DDoS (déni de service distribué).

Les IdO sont généralement des appareils "intelligents" sous-puissants exécutant diverses distributions Linux et sont limités à des fonctionnalités spécifiques. Toutefois, lorsque leurs ressources sont combinées en groupes importants, ils peuvent lancer des attaques DDoS massives, même sur des infrastructures bien protégées.

Outre les DDoS, les dispositifs IdO Linux sont recrutés pour miner des crypto-monnaies, faciliter les campagnes de courrier indésirable, servir de relais, agir comme des serveurs de commande et de contrôle, ou même servir de points d'entrée dans les réseaux d'entreprise.

Un rapport de Crowdstrike se penchant sur les données d'attaques de 2021 résume ce qui suit :

• En 2021, on a constaté une hausse de 35 % des logiciels malveillants ciblant les systèmes Linux par rapport à 2020.
• XorDDoS, Mirai et Mozi étaient les familles les plus répandues, représentant 22 % de toutes les attaques de logiciels malveillants ciblant Linux observées en 2021.
• Mozi, en particulier, a connu une croissance explosive de son activité, avec dix fois plus d'échantillons circulant dans la nature l'année écoulée par rapport à la précédente.
• XorDDoS a également connu une augmentation notable de 123 % d'une année sur l'autre.

Aperçu des logiciels malveillants

XorDDoS est un cheval de Troie Linux polyvalent qui fonctionne dans plusieurs architectures de système Linux, de ARM (IdO) à x64 (serveurs). Il utilise le chiffrement XOR pour les communications C2, d'où son nom.

Lorsqu'il attaque des appareils IdO, XorDDoS force brutalement les appareils vulnérables via SSH. Sur les machines Linux, il utilise le port 2375 pour obtenir un accès root sans mot de passe à l'hôte.

Un cas notable de distribution du malware a été montré en 2021 après qu'un acteur de menace chinois connu sous le nom de "Winnti" a été observé en train de le déployer avec d'autres botnets dérivés.

Mozi est un botnet P2P (peer-to-peer) qui s'appuie sur le système de consultation des tables de hachage distribuées (DHT) pour dissimuler les communications C2 suspectes aux solutions de surveillance du trafic réseau.

Ce botnet particulier existe depuis un certain temps, ajoutant continuellement de nouvelles vulnérabilités et élargissant son champ d'action.

Mirai est un botnet notoire qui a donné naissance à de nombreux forks en raison de son code source accessible au public et qui continue de sévir dans le monde de l'IdO.

Les divers dérivés mettent en œuvre différents protocoles de communication C2, mais ils abusent tous généralement d'informations d'identification faibles pour s'introduire par force brute dans les appareils.

Plusieurs variantes notables de Mirai ont été couvertes en 2021, comme "Dark Mirai", qui se concentre sur les routeurs domestiques, et "Moobot", qui cible les caméras.

"Certaines des variantes les plus répandues suivies par les chercheurs de CrowdStrike impliquent Sora, IZIH9 et Rekai", explique Mihai Maganu, chercheur chez CrowdStrike, dans le rapport. "Par rapport à 2020, le nombre d'échantillons identifiés pour ces trois variantes a augmenté de 33 %, 39 % et 83 % respectivement en 2021."

Une tendance qui se poursuit en 2022

Les conclusions de Crowstrike ne sont pas surprenantes car elles confirment une tendance continue qui a émergé au cours des années précédentes.

Par exemple, un rapport d'Intezer analysant les statistiques de 2020 a révélé que les familles de logiciels malveillants Linux ont augmenté de 40 % en 2020 par rapport à l'année précédente.

Au cours des six premiers mois de 2020, une forte augmentation de 500 % des logiciels malveillants Golang a été enregistrée, ce qui montre que les auteurs de logiciels malveillants cherchent des moyens de faire fonctionner leur code sur plusieurs plateformes.

Cette programmation, et par extension, la tendance au ciblage, a déjà été confirmée dans les cas du début de 2022 et devrait se poursuivre sans relâche.

Sources : Crowdstrike, Intezer

Et vous ?

Trouvez-vous ce rapport pertinent ?

Voir aussi :

Des chercheurs en sécurité ont découvert CronRAT, un nouveau cheval de Troie d'accès à distance (RAT) furtif conçu pour attaquer les systèmes Linux, se cachant sous la forme d'une tâche planifiée

Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes de menaces persistantes avancées (APT), d'après une étude réalisée par Kaspersky

Le ransomware "Hive" chiffre désormais les systèmes Linux et FreeBSD, mais cette variante du ransomware est encore boguée et ne fonctionne pas toujours

Les États-Unis exhortent les utilisateurs de Linux à sécuriser les noyaux contre une nouvelle menace de malware russe, qui crée une porte dérobée et permet l'exécution de commandes en tant que root

[phil995511]

Avec des lois comme HADOPI on tape sur des privés qui n'ont fait de mal à personne en les menaçant notamment de résiliation de leurs accès internet.

Il serait peut-être temps de s'en prendre aux vrais pirates dont le but est de voler des données confidentielles ou de l'argent à autrui, ce bien souvent avec la bénédiction des états dans lesquels ils vivent tel qu'en Corée du Nord, en Russie ou en Chine.

Les états voyous encouragent de telles activités ou ne faisant rien pour les contrer devraient eux aussi se voir couper leur connexion à Internet...

[FatAgnus]

Trouvez-vous ce rapport pertinent ?

Pas vraiment, il serait bien de connaître les vecteurs d'infection de ces logiciels malveillants.

Ensuite, ce serait bien de mettre en perspective le nombre de nouveaux logiciels malveillants entre GNU/Linux et Windows. D'après le graphique d'Intezer le nombre effrayant de 56 logiciels malveillants ont été découvert en 2020 sur GNU/Linux. Un article de Tech.co datant de novembre 2021 pointe une récente analyse de la société de logiciels de sécurité Atlas VPN indique que plus de 100 millions de logiciels malveillants ont été créés pour les utilisateurs de Windows en 2021, soit 227 par minute. Soit 16,53 millions de plus qu'en 2020. Ces chiffres ont été compilés par l'institut de recherche indépendant AV-TEST GmBH, qui évalue et examine également les logiciels antivirus. L'une des statistiques les plus inquiétantes qui ressort des données est qu'en moyenne, le nombre de nouveaux logiciels malveillants pour le système d'exploitation Windows a augmenté de 9,5 millions depuis 2012, ce qui équivaut à une augmentation de 23 % en glissement annuel...

Y a pas à dire, la logithèque Windows est bien plus étoffée que la logithèque GNU/Linux, 107,28 millions de nouvelles menaces conçues pour les appareils Windows en 2021 contre 56 sous GNU/Linux en 2020 ! GNU/Linux peut aller se rhabiller !

Cela dit, je reste sur mon Ubuntu Linux.

[MPython Alaplancha]

Bonjour,
Je suis utilisateur d'une distribution linux/gnu, et bien que je ne puisse débattre du contenu de cet article (trop technique à mon niveau), il ne m'inquiète absolument pas.
Ce n'est pas les 2 à 4% de pc tournant sur linux qui vont attirer des malveillances. ça ne ratisserait pas large

[chef_phi]

Cet article est trop limité à un commentaire de chiffres pour être intéressant.
par exemple concernant le port 2375 il serait bon de savoir si l'attaque est limitée au cas suivant, ou plus large :

La prise Docker peut être configurée sur n'importe quel port avec le dockerd -H option. Les ports Docker courants que je vois incluent:

2375: socket docker non chiffré, accès root sans mot de passe à l'hôte

(info trouvée sur internet à l'aide d'une recherche basique)

[lololapile]

Il aurait été intéressant que l'article explique comment s'assurer que l'on n'a pas été infecté par ces logiciels malveillants et comment s'en protéger;

[MPython Alaplancha]

Il aurait été intéressant que l'article explique comment s'assurer que l'on n'a pas été infecté par ces logiciels malveillants et comment s'en protéger;

Bonjour,
Comme dit au préalable, il y a vraiment peu de risque d'infection. Il y a pas vraiment de quoi s'inquiéter, mais répondre à ta question, la faille se situe généralement entre le clavier et la chaise. Autrement dit: évite les ppa dont tu n'as pas une entière confiance, privilégie les logiciels figurant dans les dépôts officiels, utilise sudo (et compte root) à bon escient...