Un malware infecte des infrastructures open source et efface les données des ordinateurs situés en Iran

Des pirates ciblent des clusters Kubernetes via un script qui efface les machines sur le sol iranien

Un malware infecte des infrastructures open source et efface les données des ordinateurs situés en Iran
Des pirates ciblent des clusters Kubernetes via un script qui efface les machines sur le sol iranien

Le groupe de pirates informatiques TeamPCP cible les clusters Kubernetes à l'aide d'un script malveillant qui efface toutes les machines dès qu'il détecte des systèmes configurés pour l'Iran. Cet acteur malveillant est à l'origine de la récente attaque par la chaîne d'approvisionnement visant le scanner de vulnérabilités Trivy, ainsi que d'une campagne basée sur NPM baptisée « CanisterWorm », qui a débuté le 20 mars.

Les chercheurs de la société de sécurité Aikido affirment que cette campagne visant les clusters Kubernetes utilise le même système de commande et de contrôle (C2), le même code de porte dérobée et le même chemin de dépôt que ceux observés lors des incidents liés à CanisterWorm.

Cependant, cette nouvelle campagne se distingue en ce qu’elle comprend une charge utile destructrice ciblant les systèmes iraniens et installe la porte dérobée CanisterWorm sur les nœuds situés dans d’autres régions.

« Le script utilise exactement le même conteneur ICP (tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io) que celui que nous avons documenté dans la campagne CanisterWorm. Même C2, même code de porte dérobée, même chemin de dépôt /tmp/pglog », indique Aikido.

« Le déplacement latéral natif de Kubernetes via les DaemonSets correspond au mode opératoire habituel de TeamPCP, mais cette variante présente une nouveauté : une charge utile destructrice à visée géopolitique, ciblant spécifiquement les systèmes iraniens. »

Algorithme de script

Selon les chercheurs d'Aikido, le logiciel malveillant est conçu pour détruire toute machine correspondant au fuseau horaire et aux paramètres régionaux de l'Iran, que Kubernetes soit présent ou non.

Si ces deux conditions sont remplies, le script déploie un DaemonSet nommé « Host-provisioner-iran » dans « kube-system », qui utilise des conteneurs privilégiés et monte le système de fichiers racine de l'hôte dans /mnt/host.

Chaque pod exécute un conteneur Alpine nommé « kamikaze » qui supprime tous les répertoires de niveau supérieur du système de fichiers de l’hôte, puis force un redémarrage de l’hôte.

Si Kubernetes est présent mais que le système est identifié comme n’étant pas iranien, le logiciel malveillant déploie un DaemonSet nommé « host-provisioner-std » en utilisant des conteneurs privilégiés avec le système de fichiers de l’hôte monté.

Au lieu d'effacer les données, chaque pod écrit une porte dérobée Python sur le système de fichiers hôte et l'installe en tant que service systemd afin qu'elle persiste sur chaque nœud.

Sur les systèmes iraniens ne disposant pas de Kubernetes, le logiciel malveillant supprime tous les fichiers de la machine, y compris les données système, accessibles à l'utilisateur actuel, en exécutant la commande rm -rf/ avec l'option --no-preserve-root. Si les privilèges root ne sont pas disponibles, il tente d'utiliser sudo sans mot de passe.



Sur les systèmes où aucune de ces conditions n’est remplie, aucune action malveillante n’est effectuée et le logiciel malveillant se ferme simplement.

Aikido signale qu’une version récente du logiciel malveillant, qui utilise la même porte dérobée ICP Canister, a abandonné la propagation latérale via Kubernetes pour recourir à la propagation par SSH, en analysant les journaux d’authentification à la recherche d’identifiants valides et en utilisant des clés privées volées.

Les chercheurs ont mis en évidence certains indicateurs clés de cette activité, notamment des connexions SSH sortantes avec « StrictHostKeyChecking+no » depuis des hôtes compromis, des connexions sortantes vers l'API Docker sur le port 2375 à travers le sous-réseau local, et des conteneurs Alpine privilégiés via une API Docker non authentifiée avec / monté en tant que hostPath.

Militarisation de l’open source

La militarisation de l'open source désigne l'utilisation de technologies collaboratives et de données en accès libre à des fins de combat, de renseignement ou de déstabilisation. Le phénomène a pris une certaine ampleur depuis le début du conflit entre la Russie et l’Ukraine au travers de modules dits de protestation open source.

Les développeurs s’en servent pour exprimer leurs opinions par le biais de ressources open source utilisées de façon active par des milliers d'applications logicielles et d'organisations. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ?

Et vous ?

Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?

Voir aussi :

Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques