Furtif, incroyablement difficile à détecter et très efficace. Des chercheurs moscovites de Kaspersky viennent de découvrir un malware sous Linux qui s’inscrit dans le cadre d’une « campagne » de hack bien plus importante qui avait été dévoilée an août dernier par Kaspersky et Symantec.
Les suites d’un été très chaud
Turla, c’est le nom de la campagne d’attaques, a été menée pendant au moins quatre ans et visait les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays. En août dernier, les chercheurs de Kaspersky et Symantec indiquaient ne pas savoir qui se cachait derrière cette série d’attaques, mais émettaient l’hypothèse que les hackers étaient certainement commandités par un Etat.
Ainsi des centaines d’ordinateurs sous Windows avaient été contaminés en exploitant toute une série de vulnérabilités très variées, dont au moins deux failles zero-day – qui sont généralement très rares. Le malware utilisait par ailleurs un rootkit, un outil qui dissimule son activité, ce qui le rendait encore plus dur à détecter.
Tapi et presque magique
Car le cheval de Troie demeure caché et inopérant sur le système contaminé tant qu’il ne reçoit pas des instructions sous forme de « paquets magiques » qui initieront alors l’exécution de commandes à distance. Cela le place à l’abri des outils de détection habituels et notamment de la commande netstat, qui permet de surveiller les connexions réseaux.
Par ailleurs, ce malware n’a pas besoin de très haut privilège pour fonctionner, ce qui veut dire que n’importe quel utilisateur sur un machine tournant sous Linux peut l’exécuter – à son insu. Dès lors le logiciel malveillant est capable d’intercepter des flux réseau et d’exécuter des commandes sur la machine contaminée pour une gestion à distance. La machine piratée pourra communiquer avec un serveur contrôlé par les attaquants et lui fournir des informations. On imagine alors assez facilement ce que cela peut avoir comme conséquence sur des machines par lesquelles transitent des informations confidentielles ou de très haute importance.
Pour l’instant, les administrateurs réseaux peuvent vérifier le trafic sortant vers un domaine et une adresse IP (news-bbc.podzone point org et 80.248.65.183), qui figurent en dur dans le code du cheval de Troie. Mais d’autres adresses et serveurs doivent être utilisés.
Une des plus grosses campagnes de tous les temps
Devant l’ampleur de leur découverte, les chercheurs de Kaspersky pensent que de nouveaux modules devraient être découverts. Ce qui est d’ailleurs arrivé, depuis la première publication de leur post sur leur blog. La découverte d’un pendant Linux actif et « dans la nature » de Turla classe définitivement cette campagne de hack parmi les plus ambitieuses et dangereuses. Au même rang que Regin, par exemple, qui a été découvert fin novembre par Symantec, elle s’inscrit dans les plus graves « APT », les Advanced Persistent Threat, ou menaces avancées et persistantes.
A lire aussi :
« L’antivirus est mort », dit Symantec – 06/05/2014
Source :
Kaspersky via Ars Technica
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.