IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les États-Unis exhortent les utilisateurs de Linux à sécuriser les noyaux contre une nouvelle menace de malware russe,
Qui crée une porte dérobée et permet l'exécution de commandes en tant que root

Le , par Stan Adkens

128PARTAGES

6  0 
Les utilisateurs de Linux ne doivent pas croire qu'ils sont à l'abri des ambitions et de la portée du groupe de piratage russe Fancy Bear, qui utilise un ensemble de logiciels malveillants récemment divulgués pour établir une connexion de commande et de contrôle avec les systèmes Linux infectés. L'Agence de sécurité nationale américaine (NSA) et le Bureau fédéral d'investigation (FBI) ont publié ce mois un nouvel avis de cybersécurité concernant un nouveau malware Linux développé et déployé lors d'attaques réelles par les pirates russes.

Fancy Bear, également connu sous le nom de Strontium ou APT 28, est le célèbre groupe de pirates informatiques suspecté d'être parrainé par le gouvernement russe. Selon l’avis, le nouveau malware appelé "Drovorub" crée essentiellement une porte dérobée qui permet le téléchargement de fichiers, l'exécution de commandes arbitraires en tant que root et le transfert du trafic réseau vers d'autres hôtes du réseau, ont averti le FBI et la NSA. L'avis décrit le malware comme un « implant couplé à un module de noyau rootkit », enrichi de composants et de modules supplémentaires.


Les deux services ont présenté Drovorub comme « une menace pour les clients des systèmes de sécurité nationale, du ministère de la Défense et de la base industrielle de la défense qui utilisent les systèmes Linux ». Les attaquants des États nations développent constamment de nouvelles armes furtives conçues pour compromettre les systèmes d'exploitation Linux, qui font tourner des serveurs, des superordinateurs et une multitude de dispositifs IdO que l'on trouve dans des domiciles et au bureau. Pourtant, il est parfois facile pour les utilisateurs de Linux de baisser leur garde, en pensant que Windows reste la cible principale des cybercriminels.

« Maintenir un système à jour et entièrement protégé n'est pas spécifique aux environnements Windows », a déclaré l'équipe ATR Operational Intelligence de McAfee dans un article de blog de l'entreprise. « Les systèmes basés sur Linux sont très répandus dans de nombreuses entreprises, et fonctionnent souvent en dehors de la visibilité directe des administrateurs système. En partie à cause de cette faible visibilité, les acteurs de la menace considèrent la pile Linux comme une cachette idéale et un point de lancement pour un mouvement latéral. Il est donc prioritaire de maintenir ces environnements à jour et sécurisés ».

C’est donc pour éviter les mauvaises surprises que le FBI et la NSA ont conseillé aux utilisateurs de Linux de se mettre à jour vers le noyau Linux 3.7 ou une version ultérieure « afin de tirer pleinement parti de l'application de la signature du noyau », et d'activer également l'UEFI Secure Boot et de « configurer les systèmes pour ne charger que les modules avec une signature numérique valide, ce qui rend plus difficile pour un acteur d'introduire un module de noyau malveillant dans le système », lit-on.

Rosa Smothers, vice-présidente senior des cyber-opérations chez KnowBe4, a dit dans une déclaration : « Si vous gardez vos distributions Linux à jour, alors vous devriez être épargné de tout problème ». « Ma principale préoccupation concerne tous les systèmes embarqués utilisant ces anciens noyaux ; je soupçonne qu'il y en a beaucoup qui restent introuvables, donc vulnérables », a-t-elle ajouté. Les routeurs ou la technologie de la maison intelligente sont des exemples de ces systèmes intégrés.

« Le point le plus important du rapport est que Fancy Bear a encore des tours dans sa manche avec plus d'outils et de capacités qui sont encore en cours de découverte », a déclaré Adam Meyers, vice-président senior du renseignement chez CrowdStrike. « Un autre élément clé est que de nombreuses organisations n'ont pas investi dans des outils de sécurité similaires pour Linux comme elles l'ont fait pour d'autres plateformes d'utilisateurs. Elles doivent réaliser que Linux est tout aussi vulnérable aux logiciels malveillants que n'importe quelle autre plateforme ».

Fancy Bear s’est signalé du côté de l’Europe l’année dernière, selon Microsoft, qui affirmait avoir détecté différentes attaques qui visaient des institutions démocratiques européennes. Selon Microsoft, les attaques ne se sont pas limitées à des campagnes électorales particulières, mais qu’elles comportaient un élément politique bien défini. Selon la société, « elles s'étendent souvent aux groupes de réflexion et aux organisations à but non lucratif travaillant sur des sujets liés à la démocratie, à l'intégrité électorale et aux politiques publiques et qui sont souvent en contact avec des responsables gouvernementaux ».

Que sait-on sur le nouveau malware Drovorub ?

Selon les informations publiées par le FBI et la NSA, le logiciel malveillant est composé de quatre composants principaux qui exécutent des modules spécifiques aux tâches, et la communication entre les composants se fait via un format de message basé sur JSON, sur le protocole WebSocket qui fonctionne via une connexion TCP.

Le composant serveur Drovorub réside dans l'infrastructure de l'attaquant et permet le concept de communication C2 (commande et contrôle), en exploitant une base de données MySQL pour stocker les données nécessaires à l'enregistrement, l'authentification et l'attribution des tâches. Le module Drovorub-client, quant à lui, se trouve sur les terminaux infectés et reçoit les commandes du module serveur. Il permet le transfert de fichiers, la redirection de port et des capacités de shell à distance, et est fourni avec le module Drovorub-kernel, qui offre « une fonctionnalité de furtivité basée sur le rootkit pour cacher le client et le module du noyau », explique l'avis.


Drovorub comporte un quatrième module, Drovorub-agent, qui agit de manière similaire au Drovorub-client, et est « susceptible d'être installé sur des hôtes accessibles par Internet ou sur une infrastructure contrôlée par l'acteur de la menace», indique l'avis. Ce module peut lui aussi recevoir des commandes du serveur, mais il dispose d'une capacité de shell à distance ou d'un rootkit de module de noyau. Il faut noter que les modules agent et client ne peuvent pas communiquer directement, mais ils peuvent interagir indirectement via le module serveur.

Se référant aux techniques d'évasion avancées de toolkit, le FBI et la NSA notent que le module Drovorub-kernel « pose un défi à la détection à grande échelle sur l'hôte, car il cache des artefacts Drovorub [par exemple des fichiers, des répertoires et des processus] des outils couramment utilisés pour la réponse en direct à l'échelle ».

Le défi est d’autant important que « L'un des plus grands problèmes de la communauté Linux est que les gens ont tendance à croire au battage médiatique selon lequel Linux définitivement sûr. Cela tend à faire que les gens ne mettent pas à jour Linux aussi souvent qu'ils le devraient, ou n'achèvent pas l'installation des mises à jour du noyau quand ils le devraient », a déclaré Robert Meyers, architecte des solutions chez One Identity. Mais « Il n'y a pas de magie à protéger un système d'exploitation. Quelqu'un va essayer de les pirater tous et chacun d'entre eux. Chaque fois que des mises à jour sont disponibles, elles doivent être complétées, en utilisant une méthodologie informatique standard ».

En juillet, des chercheurs d'Intezer ont révélé leur découverte d'une attaque de conteneurs Docker qui distribue une porte dérobée malveillante « totalement indétectable » pour les environnements Cloud basés sur Linux. Comme les organisations déplacent de plus en plus leurs infrastructures commerciales hors de leurs locaux, les cybercriminels sont de plus en plus motivés pour cibler les environnements Cloud Computing basés sur Linux.

« Le nouveau malware baptisé "Doki" n'a été détecté par aucun des 60 moteurs de détection de malware de VirusTotal depuis sa première analyse le 14 janvier 2020 », ont écrit les chercheurs. « Toute personne ayant un accès public à l'API de Docker court un risque élevé d'être piratée en quelques heures seulement », ont-ils ajouté.

Pour lutter contre le malware Drovorub, le FBI et la NSA suggèrent des mesures telles que des systèmes de détection des intrusions sur le réseau, des sondages, l'utilisation de produits de sécurité, la journalisation, la réponse en direct, l'analyse de la mémoire et l'analyse de l'image des disques durs. McAfee a spécifiquement suggéré dans son billet de blog de scanner les rootkits afin de découvrir les portes dérobées et les éventuels exploits locaux, de ne charger que les modules connus ou de désactiver entièrement les modules, d'utiliser le verrouillage du noyau Linux, d’autoriser l'amélioration de la sécurité de SELinux et plus encore.

Sources : Communiqué de presse, Avis de cybersécurité

Et vous ?

Que pensez-vous du nouveau malware ?
Pensez-vous que certaines organisations n’auraient pas mis à jour leur système Linux depuis 2013 (l’avis demande de mettre à jour à partir du noyau Linux 3.7) ?
Que pensez-vous des recommandations de l’avis de cybersécurité ?

Voir aussi :

La NSA alerte sur une vague de cyberattaques contre les serveurs Exim, par le groupe russe Sandworm
Microsoft affirme avoir détecté des attaques informatiques visant des institutions démocratiques européennes, lancées par des hackers en Russie
Microsoft a remporté un procès contre Fancy Bear, le groupe de pirates russes, est à jamais interdit d'attaquer les clients de Microsoft à nouveau
Le manque de compétences en cybersécurité affecte 70 % des organisations, car elles n'ont pas une vision stratégique de la profession, selon un rapport de ESG-ISSA

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de ormond94470
Membre actif https://www.developpez.com
Le 24/08/2020 à 22:17
Il serait également intéressant que la NSA et le FBI expliquent les Black door qu'ils utilisent pour encore plus de sécurité sur Linux....
7  0 
Avatar de jvallois
Membre éprouvé https://www.developpez.com
Le 24/08/2020 à 16:36
le FBI et la NSA ont conseillé aux utilisateurs de Linux de se mettre à jour vers le noyau Linux 3.7 ou une version ultérieure
Il me semble que les distributions actuelles en sont au minimum à la version 4 voire 5 du noyau, non ?
Ça ressemble encore à une tentative d’effrayer les gens pour préférer Windows à Linux, me semble-t-il.
7  1 
Avatar de bmayesky
Membre régulier https://www.developpez.com
Le 25/08/2020 à 5:24
Bon, revoyons le risque: un noyau 3.7 qui est totalement dépassé dans les distributions actuelles (oui, je ne parle pas seulement des distributions récentes), l'article parle de ce noyau sur des machines type IoT qui sont des machines avec très peu de ressources et rarement un accès internet, souvent derrière des pare-feu à jour. Bref, le risque me semble bien faible pour le péquin moyen, pour les serveurs importants. Reste les machines que l'on oublie, qui ne sont mises à jour depuis très longtemps et qui ne servent peut-être plus à grand chose puisqu'elles sont oubliées dans leur coin. Et des instances Docker, ouverte sur l'internet avec des noyaux 3.7 ça ne doit pas courir les rues non plus.
C'est comme si l'on alertait sur une faille de sécurité de Windows Me servant de serveur web: c'est réel et factuel mais si peu probable que l'alerte en perd son catastrophisme. Bref, j'ai un peu de mal à penser que les USA "exhortent" à "sécuriser les noyaux Linux" alors que la vulnérabilité n'est plus d'actualité dans les noyaux depuis très longtemps avant que la faille soit découverte semble t'il.
6  2 
Avatar de
https://www.developpez.com
Le 25/08/2020 à 9:45
C'est un vieux noyau quand même mais bon, dans certains secteurs (je pense à l'industrie), un certain nombre de systèmes de prod ont une durée de vie très longue et ne peuvent tout simplement pas être mis à jour. Si, dans ce cas là, pour plus de commodité, quelqu'un demande à ouvrir un accès depuis l'extérieur vers un tel système, et bien c'est perdu.

Dans un monde idéal, on peut penser que tout est bien cartographié, mis à jour et protégé. Dans la pratique, rien n'est jamais fait parfaitement. Il est par exemple très simple de lancer un service dans docker et de l'oublier rapidement tant qu'il fait ce que l'on attend de lui.

Après, je suis d'accord, le titre est un peu excessif et comme souvent, oppose États-Unis et Russie sur fond de cyberguerre. Sans aller jusque là, il s'agit juste de prendre en compte le message de bon sens : garder ses machines et ses services à jour
4  0 
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 24/08/2020 à 19:09
Citation Envoyé par jvallois Voir le message
Il me semble que les distributions actuelles en sont au minimum à la version 4 voire 5 du noyau, non ?
Ça ressemble encore à une tentative d’effrayer les gens pour préférer Windows à Linux, me semble-t-il.

exacte Linux 5.8.1-3 le dernier

et en lts Linux 5.4.58-1 was released on 24 November 2019.
2  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 25/08/2020 à 12:17
Je connais beaucoup de système qui sont passé a Java 8 y'a pas longtemps.

Alors oui c'est pas bien, mais en attendant je pense que vos analyses de risques méritent quelques révisions face à la (triste) réalité plutôt qu'a la théorie.
2  0 
Avatar de foxzoolm
Membre habitué https://www.developpez.com
Le 25/08/2020 à 21:37
hmm l'article est tres flou sur la methode de contamination...
soit le virus est à l' extérieur et essaye de rentrer dans un server via TCP qui poutre le kernel... et la effectivement c grave.
soit le virus est executé en locale et cherche une elevation de privilège et la c'est moyen... (gros part de responsabilité de l'admin)...

quoi qu'il en soit la base minimum du bon admin : les mises à jour reguliere !

pour moi ce genre qu'anonce ne servent qu'a 2 choses :
- linux c'est aussi pourri que windows (ahahah)
- bouououh les russes sont méchant...

1 pierre 2 coups...

je me demande si les Rasperi ne tourne pas sur 3.x... voir certain de vieux android...

concernant la CIA/FBI/illuminati qui aurait des portes dérobé dans le kernel linux j'y crois moyen...
des zero-days, exploit etc oui... des portes derobé gnééé... nan...
en plus pour quoi faire ? Nos grosses sociétés stratégique foutent en clair leurs data sur les clouds cromou...
(sous loué a amazon qui sous loue aux cloud china...)

un truc qui m'etonne. dont j'attends jamais parlé.. mais qui apparait TRES clairement dans mes logs :
est-ce normal que je me retrouve avec une liste conséquente d'adresse IP banni (fail2ban) de type 10.X.X.X ???

Syl
0  0 
Avatar de
https://www.developpez.com
Le 26/08/2020 à 9:20
Tous les systèmes sont faillibles, ceux basés sur Linux comme les autres. Il n'y a rien de pire que le faux sentiment de sécurité que certains peuvent ressentir en utilisant un système basé sur Linux.

Sinon, un Raspberry tourne avec le noyau qu'on lui donne. Si c'est une Raspbian d'installée et à jour, c'est le noyau 4.19 qui est présent (c'est la distribution proposée par défaut). Avec Raspbian, et sauf erreur de ma part, il faut remonter à 2013 pour trouver un noyau vulnérable ici (https://fr.wikipedia.org/wiki/Raspberry_Pi_OS) et ça ne concerne que les Raspberry Pi 1/1+.

Pour ton problème de log fail2ban, tu devrais poser la question dans la section appropriée du forum (Linux -> Sécurité) avec un peu plus d'indications sur tes logs et le contexte d'exécution de ta machine.
0  0 
Avatar de SQLpro
Rédacteur https://www.developpez.com
Le 08/09/2020 à 16:10
Extrait :
L'un des plus grands problèmes de la communauté Linux est que les gens ont tendance à croire au battage médiatique selon lequel Linux définitivement sûr
Hélas combien de fois ai-je entendu ce discours....
Windows c'est mal, Linux c'est parfait !

A +
0  1