Un récent rapport du FBI et de la NSA décrit Drovorub, un nouveau malware russe. Le programme s’attaque à Linux, et peut prendre le contrôle de l’appareil ainsi que voler les fichiers. Il témoigne d’un intérêt croissant des groupes de hackers russes pour ce système d’exploitation.
au sommaire
LinuxLinux a la réputation d'être le système d'exploitation le plus sécurisé, et certains n'hésitent pas à vanter l'absence de virus sur ces ordinateurs. Si cette affirmation était crédible il y a 15 ans, ce n'est plus le cas aujourd'hui. Le FBI et la NSA ont publié un rapport détaillant un nouveau malware baptisé Drovorub qui vise les systèmes Linux. Les deux agences américaines accusent APT28, un groupe qui appartiendrait au service de renseignement militaire russe (GRU).
Drovorub est un véritable couteau suisse intégrant un module pour l'infection, un rootkit, un utilitaire de transfert de fichiers, un autre outil pour la redirection de ports et un serveur de commande et contrôle. Le malware est ainsi conçu pour être difficile à détecter, et peut effectuer de nombreuses actions comme voler les fichiers de la victime ou prendre le contrôle de l'appareil.
Linux de plus en plus dans le viseur des hackers
Pour se protéger, le rapport recommande de passer au noyau 3.7 de Linux, qui impose la signature des modules. Il conseille également l'activation du démarrage sécurisé UEFI qui permet de bloquer les bootkits, tout du moins tant que les hackers n'utilisent pas la faille BootHole... Le rapport propose aussi un nombre de méthodes pour détecter la présence de Drovorub avec divers outils, comme Snort, Yara ou Volatility.
Les attaques par des groupes russes contre les systèmes basés sur le noyau Linux se multiplient. En 2018, ESET avait découvert 12 nouvelles familles de logiciels malveillantslogiciels malveillants visant ce système d'exploitation. La même année, un malware baptisé VPNFilter, également attribué à APT28, avait infecté des routeursrouteurs. En 2019, Microsoft avait découvert un autre malware, visant les objets connectés et attribué au même groupe russe, ici sous le nom StrontiumStrontium. La popularité croissante de Linux, pour les serveursserveurs et objets connectés, et notamment dans les infrastructures les plus sensibles, risque d'en faire une cible privilégiée pour les nouvelles attaques.