Nouveau logiciel malveillant caché pour Linux: une porte dérobée cachée depuis des années

Nouveau logiciel malveillant caché pour Linux

On a longtemps prétendu que Linux/Unix était invulnérable, qu'il n'avait aucun défaut de sécurité et qu'il n'y avait aucun virus pour ces systèmes. Loin de la réalité, Linux est un système d'exploitation tout aussi exposé que Windows ou macOS, à la différence que, étant minoritaire, il y a moins de menaces car il est moins rentable. Outre les nombreuses menaces qui existent aujourd'hui pour ce système d'exploitation, il existe également d'autres anciennes menaces qui sont passées inaperçues depuis longtemps. Et l'un des derniers à apparaître a été RotaJakiro .

Cette semaine encore, un groupe de chercheurs en sécurité de 360 ​​Netlab a détecté un cheval de Troie de type porte dérobée pour Linux qui circulaient sur Internet depuis des années et passaient complètement inaperçues. Ce cheval de Troie est apparu pour la première fois sur VirusTotal en 2018. Et à ce jour, il continue d'échapper à la détection de la moitié des moteurs antivirus de cette plateforme. Au total, 4 variantes différentes ont été détectées et analysées, et toutes avec zéro détection.

Logiciel malveillant RotaJakiro

Le serveur de contrôle à distance est enregistré depuis 2015 , on pense donc que les premiers échantillons de ce malware circulent depuis lors.

RotaJakiro: le cheval de Troie sous Linux depuis plus de 3 ans

L'une des caractéristiques de ce cheval de Troie est qu'il a été programmé à partir de zéro pour être aussi silencieux que possible. Pour éviter que la communication avec le centre de contrôle ne soit détectée, le malware Linux crypte toutes les communications . Pour ce faire, il utilise les algorithmes AES, XOR et ROTATE, et compresse les connexions à l'aide de ZLIB. Pour cette raison, les systèmes de sécurité n'ont pas été en mesure de détecter des soupçons dans son activité et, comme il fonctionne à un faible niveau, il n'a pas soulevé de soupçons pendant son fonctionnement.

La première chose que ce cheval de Troie a faite quand infecter le PC était de vérifier si l'utilisateur était racine ou pas root. Ainsi, selon le type de compte sur lequel il est exécuté, certaines ou d'autres tâches seront effectuées pour être extraites sans être détectées et rendues persistantes dans le système. Une fois prêt, il établit une connexion avec le serveur de contrôle et attend des instructions. Le serveur a une adresse IP d'Ukraine , donc le malware pourrait provenir de là.

L'objectif principal de ce malware était de collecter et voler toutes sortes d'informations sensibles PC compromis. Il pourrait également étendre ses fonctions en utilisant des plugins. Cependant, les chercheurs en sécurité n'ont pas encore été en mesure de découvrir ce qu'ils étaient et dans quelle mesure ils ont réussi à prendre le contrôle des systèmes infectés piratés. De plus, une relation a été trouvée avec le botnet Torii, l'un des plus grands réseaux de zombies IdO appareils en service depuis 2018.

Comment protéger Linux contre ce malware

L'origine de RotaJakiro n'est pas encore très clair. On ne sait pas s'il s'agit d'un malware mondial qui attaque tous les utilisateurs de Linux, ou s'il s'agit d'une menace conçue pour attaquer des entreprises stratégiques. Par conséquent, on ne sait pas s'il arrive par le biais de spam, de vulnérabilités ou caché dans des fichiers téléchargés sur Internet.

Les principaux programmes antivirus détectent déjà la menace et l'ajoutent à leurs bases de données. Par conséquent, nous pouvons nous assurer que nous ne sommes pas infectés par celui-ci en utilisant un bon antivirus pour Linux, avec la dernière base de données installée. De plus, comme toujours, il est important de garder la distribution à jour avec les derniers correctifs pour éviter toute vulnérabilité qui pourrait nous mettre en danger.