IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un logiciel malveillant Linux voleur de mots de passe a fonctionné pendant 3 ans
Sans que personne ne le remarque

Le , par Bruno
18 commentaires

33PARTAGES

9  0 
Les chercheurs de Kaspersky Lab ont révélé que le site de téléchargement freedownloadmanager[.]org a été utilisé pour distribuer des logiciels malveillants aux utilisateurs de Linux. Ces logiciels malveillants ont été conçus pour voler des mots de passe et d’autres informations sensibles. Cette activité malveillante aurait duré plus de trois ans.

Le site freedownloadmanager[.]org a proposé une version du logiciel Linux connu sous le nom de Free Download Manager. Cependant, à partir de 2020, le même domaine aurait parfois redirigé les utilisateurs vers le domaine deb.fdmpkg[.]org, qui proposait une version malveillante de l’application. Cette version malveillante contenait un script qui téléchargeait deux fichiers exécutables dans les chemins de fichiers /var/tmp/crond et /var/tmp/bs. Le script utilisait ensuite le planificateur de tâches cron pour lancer le fichier dans /var/tmp/crond toutes les 10 minutes.

La version de Free Download Manager installée par le paquet infecté a été publiée le 24 janvier 2020. Parallèlement, le script postinst contient des commentaires en russe et en ukrainien, notamment des informations sur les améliorations apportées au logiciel malveillant, ainsi que des déclarations d'activistes. Ils mentionnent les dates 20200126 (26 janvier 2020) et 20200127 (27 janvier 2020).


Les appareils qui avaient installé la version piégée de Free Download Manager étaient ainsi définitivement compromis. Ce logiciel malveillant Linux voleur de mots de passe a fonctionné pendant plus de trois ans sans que personne ne le remarque. En juillet 2022, des chercheurs en cybersécurité ont découvert un nouveau logiciel malveillant Linux nommé Orbit qui crée une porte dérobée dans les machines et serveurs infectés, permettant aux cybercriminels de voler discrètement des informations sensibles tout en maintenant leur présence sur le réseau.

Le malware Orbit fournit aux cybercriminels un accès à distance aux systèmes Linux, ce qui leur permet de voler des noms d’utilisateur et des mots de passe et d’enregistrer des commandes TTY – les entrées effectuées dans le terminal Linux. Les menaces qui ciblent Linux continuent d’évoluer tout en réussissant à rester sous le radar des outils de sécurité. Orbit est un exemple de plus de la façon dont les nouveaux logiciels malveillants peuvent être évasifs et persistants.

Une porte dérobée basée sur le DNS

Une fois le paquet malveillant installé, l'exécutable /var/tmp/crond est lancé à chaque démarrage via cron. Cet exécutable est une porte dérobée et n'importe aucune fonction de bibliothèques externes. Pour accéder à l'API Linux, il invoque des appels de système à l'aide de la bibliothèque dietlibc liée statiquement.

Au démarrage, cette porte dérobée effectue une requête DNS de type A pour le domaine <chaîne de 20 octets codée en hexadécimal>.u.fdmpkg[.]org. En réponse à cette requête, la porte dérobée reçoit deux adresses IP qui codent l'adresse et le port d'un serveur C2 secondaire. Les adresses suivantes ont été renvoyées au moment de nos recherches :

  • 172.111.48[.]101 ;
  • 172.1.0[.]80

La première adresse IP de la liste ci-dessus est l'adresse du serveur C2 secondaire, tandis que la deuxième adresse contient le port de connexion (codé dans les troisième et quatrième octets) et le type de connexion (codé dans le deuxième octet).

Après avoir analysé la réponse à la requête DNS, la porte dérobée lance un shell inversé, en utilisant le serveur C2 secondaire pour les communications. Le protocole de communication est, selon le type de connexion, soit SSL, soit TCP. Dans le cas de SSL, la porte dérobée crond lance l'exécutable /var/tmp/bs et lui délègue toutes les communications ultérieures. Dans le cas contraire, le shell inversé est créé par la porte dérobée crond elle-même.

Un dérobateur de Bash

Après avoir découvert que la porte dérobée crond crée un shell inversé, nous avons décidé de vérifier comment ce shell est utilisé par les attaquants. Pour ce faire, nous avons installé le paquet Free Download Manager infecté dans un bac à sable d'analyse des logiciels malveillants. Après avoir analysé le trafic généré par crond, nous avons déterminé que les attaquants avaient déployé un voleur Bash dans le bac à sable.

Ce voleur collecte des données telles que des informations système, l'historique de navigation, des mots de passe enregistrés, des fichiers de portefeuilles de cryptomonnaies, ainsi que des informations d'identification pour des services cloud (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).


Après avoir recueilli des informations sur la machine infectée, le voleur télécharge un binaire de téléchargement à partir du serveur C2 et l'enregistre dans /var/tmp/atd. Il utilise ensuite ce binaire pour télécharger les résultats de l'exécution du voleur vers l'infrastructure des attaquants. Aucune autre activité réalisée via le reverse shell n’a été observée, et la chaîne d'infection complète peut donc être décrite à l'aide du graphique ci-dessous :


Le mystère du vecteur d'infection

Après avoir analysé tous les éléments de la chaîne, les chercheurs ont voulu savoir comment le paquet Debian infecté avait été distribué aux victimes. Ils ont consulté le site officiel de Free Download Manager (freedownloadmanager[.]org). Les paquets disponibles au téléchargement sur ce site se sont avérés être hébergés sur le domaine files.freedownloadmanager[.]org, et ils n'ont pas fait l'objet d'un backdoored.

Les chercheurs ont ensuite décidé d'effectuer une vérification des sources ouvertes sur le domaine fdmpkg[.]org. Cette vérification a révélé une douzaine de messages sur des sites web tels que StackOverflow et Reddit, dans lesquels les utilisateurs discutaient des problèmes causés par la distribution infectée de Free Download Manager, sans se rendre compte qu'ils étaient en fait victimes d'un logiciel malveillant. Comme dit précédemment, ces messages ont été publiés sur une période de trois ans, de 2020 à 2022.

Dans l'un de ces messages, l'auteur se plaint du message « Waiting for process : crond » qui empêche l'ordinateur de s'éteindre :


Les réponses à cet article, provenant d'utilisateurs confrontés au même problème, suggèrent que ce problème est causé par le logiciel Free Download Manager. Elles conseillent de supprimer les fichiers /etc/cron.d/collect, /var/tmp/crond et /var/tmp/bs. Cependant, aucun ne mentionne que ces trois fichiers sont malveillants.

Le logiciel malveillant observé dans cette campagne est connu depuis 2013. En outre, les implants se sont révélés assez bruyants, comme le montrent les nombreux messages postés sur les réseaux sociaux. Selon notre télémétrie, les victimes de cette campagne sont localisées dans le monde entier, notamment au Brésil, en Chine, en Arabie Saoudite et en Russie. Compte tenu de ces faits, il peut sembler paradoxal que le paquet malveillant Free Download Manager soit resté indétecté pendant plus de trois ans. Cela serait dû aux facteurs suivants :

  • la fréquence d’observation de logiciels malveillants sur Linux est beaucoup plus faible que sur Windows ;
  • les compromissions par le paquet malveillant de Debian se sont produites avec un certain degré de probabilité : certains utilisateurs ont reçu le paquet compromis, tandis que d'autres ont fini par télécharger le paquet bénin ;
  • les utilisateurs de réseaux sociaux qui discutent des problèmes liés à Free Download Manager ne soupçonnent pas qu'ils sont dus à des logiciels malveillants.

Les logiciels malveillants ciblant Linux sont beaucoup moins fréquents que ceux ciblant Windows. Cependant, il est important de noter que la quantité de logiciels malveillants pour Linux a augmenté de manière exponentielle au cours du premier semestre 2022, atteignant un niveau record après la découverte de 1,7 million d’échantillons par les chercheurs. En comparaison, Windows reste le système d’exploitation le plus infecté par des logiciels malveillants, avec 41,4 millions d’échantillons nouvellement programmés identifiés au premier semestre 2022.

Les services gratuits ne sont pas vraiment gratuits

La réalité est que les services gratuits ne sont pas gratuits, et beaucoup de ces milliards d'utilisateurs sont heureux d'être complices afin de rendre leur vie plus facile. Bien qu’ils ne coûtent pas d’argent au départ, ils s’accompagnent souvent de coûts cachés, tels que la collecte et l’utilisation de données personnelles pour la publicité ciblée. L’exemple de Google et Facebook est une illustration parfaite. Une étude réalisée en 2019 par le Centre for Data Innovation s'est penchée sur le compromis entre l'échange de données et l'accès aux services en ligne. Elle a révélé que 80 % des utilisateurs américains souhaitaient que Facebook et Google collectent moins de données les concernant.

Toutefois, lorsqu'on leur demande quels compromis ils seraient prêts à faire pour y parvenir, ils se montrent plus ambivalents. Lorsqu'on leur demande s'ils accepteraient de collecter moins de données mais de perdre certaines fonctionnalités de ces services, ils ne sont plus que 64 % à les soutenir. Lorsqu'on leur demande s'ils seraient prêts à payer un abonnement mensuel pour que Facebook et Google collectent moins de données, ils ne sont plus que 25 %.

Bien que la campagne soit actuellement inactive, le cas de Free Download Manager montre qu'il peut être très difficile de détecter à l'œil nu les cyberattaques en cours sur les machines Linux. Il est donc essentiel que les machines Linux, qu'il s'agisse d'ordinateurs de bureau ou de serveurs, soient équipées de solutions de sécurité fiables et efficaces.

Source : Kaspersky

Et vous ?

Comment le site freedownloadmanager[.]org a-t-il pu distribuer des logiciels malveillants pendant plus de trois ans sans être détecté ?

Comment les utilisateurs de Linux peuvent-ils se protéger contre les logiciels malveillants tels que celui distribué par freedownloadmanager[.]org ?

Quelles sont selon vous, les mesures que les utilisateurs de Linux peuvent prendre pour éviter d’être victimes de logiciels malveillants ?

Croyez-vous aux services gratuits en ligne ?

Voir aussi :

Un hébergeur danois déclare que ses clients ont « perdu toutes leurs données », après une attaque par rençongiciel

Les organisations ne parviennent à empêcher que six cyberattaques sur dix, selon le rapport de Picus Security

Kubernetes exposé : Un Yaml près du désastre, 72% des installations sont non sécurisées et exposées aux attaques

Une erreur dans cette actualité ? Signalez-nous-la !

18 commentaires
Commenter Signaler un problème
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 15/09/2023 à 8:36
Je croyais que le logiciel libre compte tenu du code ouvert et des millions d'informaticiens qui scrutent les lignes de code journellement et à la loupe n'aurait pas mis plus de 48h pour déceler ce genre de faille
Remarque sans fondement.

Tout ce qui fonctionne sous Linux n'est pas du code ouvert, donc si tu installes n'importe quoi ... d'autant plus si le produit demande des privilèges élevés. Tu peux trouver des produits libres sous Windows également.

Et dans ce cas précis, tu téléchargerais un truc d'une usine à download toi ? Il y des gens qui le font (à leur insu ou non), ce qui fait que des hôpitaux, des villes se retrouvent cryptolockés, infras sur ...... Windows.

Si tu installes un .deb ne provenant pas d'un dépôt officiel, tu n'a aucune garantie de quoi il s'agit, si c'est opensource, closesource, que ça a été relu ou non. Après tu peux toujours installer la clé d'un dépôt non officiel, tu n’auras aucun avertissement. Tu peux aussi travailler en utilisateur root sans mot de passe. Ah non, les principales GUI refuseront de démarrer en root.

Sous Windows, le produit est signé ou non avec la signature authenticode, qui garantie l’identité de l'éditeur du produit, aucunement sa fiabilité ou que le code soit de qualité, opensource ou non.

Si tu regardes cette page concernant SQL Server sous Linux:
https://www.opencve.io/cve?vendor=mi...uct=sql_server

Sur les 3 premières pages que j'ai regardé, il n'y a qu'une entrée ou Linux est impliqué, tout le reste c'est Microsoft. Quel est le point commun avec Windows ? Microsoft
11  0 
archqt
Avatar de archqt
Membre émérite https://www.developpez.com
Le 14/09/2023 à 19:26
C'est quand même bizarre ! Je croyais que le logiciel libre compte tenu du code ouvert et des millions d'informaticiens qui scrutent les lignes de code journellement et à la loupe n'aurait pas mis plus de 48h pour déceler ce genre de faille... Nous aurait-on menti sur la fiabilité de Linux ?
Quand c'est un logiciel connu avec les sources dans les dépôts OUI, mais là c'est un logiciel hors dépôt. La remarque est aussi pertinente que de dire après avoir téléchargé un apk vérolé en dehors du Play Store "Je croyais que google protégeait ses utilisateurs". Essaye de modifier le code du noyau linux et ce sera vu assez rapidement.
7  0 
Escapetiger
Avatar de Escapetiger
Expert éminent sénior https://www.developpez.com
Le 15/09/2023 à 9:27
Citation Envoyé par archqt Voir le message
Essaye de modifier le code du noyau linux et ce sera vu assez rapidement.
Citation Envoyé par binarygirl Voir le message
Il y a eu des tentatives comme celle-ci: How a university got itself banned from the Linux kernel
Des chercheurs ont secrètement tenté d'ajouter des vulnérabilités au noyau Linux
Et ont fini par être bannis
3  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 15/09/2023 à 12:35
systemd, implémenté depuis 2015 dans la plupart des distributions GNU/Linux, rend insensible à la faille exploitée. Cela explique peut-être pourquoi il ne s'est pas fait remarquer plus tôt.
4  1 
Eric80
Avatar de Eric80
Membre éclairé https://www.developpez.com
Le 21/09/2023 à 11:10
Citation Envoyé par SQLpro Voir le message
C'est quand même bizarre ! Je croyais que le logiciel libre compte tenu du code ouvert et des millions d'informaticiens qui scrutent les lignes de code journellement et à la loupe n'aurait pas mis plus de 48h pour déceler ce genre de faille... Nous aurait-on menti sur la fiabilité de Linux ?
on sent une pointe de sarcasme dans ce commentaire un peu naïf, non?

Certains ont répondu sur les sources des dépôts, d'autres sur si le code est relu ou pas.
Le + critique reste AMHA la partie relecture (review). Le code a beau être ouvert et même relu par plusieurs personnes, les failles les plus sournoises sont très difficiles à détecter à la lecture dudit code, donc le code ouvert peut bien avoir été relu 100 fois, mais cela ne garanti PAS qu'il est sans faille!

in fine, on ne peut PAS prouver (mathématiquement) qu'un logiciel est sans bug ou sans vulnérabilité; on peut juste réduire les risques.

D'ailleurs, je serais curieux de connaître l'optimum statistique en nombre de relecteurs: en théorie, + il y en a, mieux c'est car + la probabilité de détecter une faille augmente.
Mais j'imagine qu au dela d un certain seuil, l'humain fait confiance à ses prédécesseurs, par ex en mode "si 1000 personnes ont déjà validé ce bout de code, pas besoin que je m'y colle en détail"!
3  0 
binarygirl
Avatar de binarygirl
Membre chevronné https://www.developpez.com
Le 14/09/2023 à 22:23
Citation Envoyé par archqt Voir le message
Essaye de modifier le code du noyau linux et ce sera vu assez rapidement.
Il y a eu des tentatives comme celle-ci: How a university got itself banned from the Linux kernel
2  0 
JPLAROCHE
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 15/09/2023 à 12:57
le logiciel open-source cela veut bien dire que les source sont à disposition et ouvert, rien de caché, d'ailleurs lorsque je fais des publications il n'y a que des sources sur des sujets très précis, voir de la documentation pour aider à l'installation à partir de votre distribution.

Hors mis cela, j'applique le saint principe, je ne travaille pas avec l'administrateur qui lui est un vrai fainéant puisqu'il ne fait que l'installe ou la mise à jour.

mais l'open-source on veut sa peau .......
2  0 
Marc_marc
Avatar de Marc_marc
Membre à l'essai https://www.developpez.com
Le 15/09/2023 à 20:07
FDM_team votre reponse me donne une etrange impression :
- c'est que 0.1% donc c'est pas grave... mais pour 100% des gens qui l'ont eu, cela ne les importe pas si le voisin n'a rien subit
- le fait que le probleme n'ai ete resolu que parce que votre site web a subit une reforme, c'est pour le moins etonnant.
donc vous n'avez recompile le programme pendant 2 ans ? a tout le moins, il y a des bugs dans les librairies qui necessite de temps a autre une recompilation.
de meme, c'est un fail-by-design... le piratage d'un site web ayant modifie un repertoire du dit-serveur devrait generer une anomalie dans les 24h (par ex rsync comparatif depuis le serveur interne). on ne peux plus au 21ieme siecle faire un site web qui necessite intervention humaine pour detecter un probleme aussi basique qu'une modification de checksum
1  0 
N_BaH
Avatar de N_BaH
Modérateur https://www.developpez.com
Le 24/09/2023 à 13:10
Citation Envoyé par FDM_team Voir le message
Salutations de la part de l'équipe de Free Download Manager ! Voici notre dernière mise à jour concernant le problème. Nous avons créé un script bash que vous pouvez utiliser pour vérifier la présence du malware dans votre système. Veuillez obtenir le script et consulter nos instructions sur notre page officielle : https://www.freedownloadmanager.org/blog/?p=664
Nous nous excusons une fois de plus sincèrement pour tout inconvénient qui aurait pu être causé.
cherchez-vous un motif avec des points ? alors ce doit être infection_indicator="deb\.fdmpkg\.org", et pour une liste d'éléments, je suggère d'utiliser un tableau :
Code : Sélectionner tout 
1
2
3
directories=( /var/tmp /lost+found /lib /lib64 /etc/openal /etc/thermald )
#...
for dir in "${directories[@]}"; do...
Mais si le script doit être portable (parce qu'on ne peut présumer de la version du shell disponible), alors il ne faut pas utiliser bash, mais #!/bin/sh. On indique ainsi clairement que le script doit se conformer strictement à la norme POSIX.
1  0 
FDM_team
Avatar de FDM_team
Candidat au Club https://www.developpez.com
Le 15/09/2023 à 11:16
L'équipe de Free Download Manager vous salue. Nous prenons acte des rapports concernant les problèmes de sécurité et nous vous assurons que nous enquêtons activement sur leur historique. À l'heure actuelle, tous les liens du site web de FDM sont sécurisés et fonctionnels. Pour un aperçu complet de la situation, nous avons fait une annonce officielle sur notre site web. Nous encourageons tout le monde à obtenir plus d'informations ici.

Annonce de sécurité importante à nos précieux utilisateurs
13 septembre 2023

Chère communauté,

Nous souhaitons vous faire part d'un problème de sécurité important qui a récemment été porté à notre attention. Il est primordial pour nous de préserver votre confiance, et dans notre volonté de transparence, nous souhaitons vous fournir un compte-rendu clair et direct de la situation.

Ce qui s'est passé : Aujourd'hui, informés par les conclusions de Kaspersky Lab, nous avons pris connaissance d'un incident de sécurité survenu en 2020. Il semble qu'une page web spécifique de notre site ait été compromise par un groupe de pirates ukrainiens, qui l'ont exploitée pour distribuer des logiciels malveillants. Seul un petit sous-ensemble d'utilisateurs, en particulier ceux qui ont tenté de télécharger FDM pour Linux entre 2020 et 2022, a été potentiellement exposé. On estime que moins de 0,1 % de nos visiteurs ont pu rencontrer ce problème. Cette portée limitée est probablement la raison pour laquelle le problème n'a pas été détecté jusqu'à présent. Il est intéressant de noter que cette vulnérabilité a été résolue à notre insu lors d'une mise à jour de routine du site en 2022.

Nos actions immédiates : Après cette découverte, nous avons lancé une enquête approfondie. Nous renforçons nos défenses et mettons en œuvre des mesures supplémentaires pour prévenir de telles vulnérabilités à l'avenir.

Recommandations pour les utilisateurs : Si vous faites partie du sous-ensemble d'utilisateurs qui ont essayé de télécharger FDM pour Linux à partir de notre page compromise pendant la période mentionnée, nous vous recommandons vivement de procéder à une analyse des logiciels malveillants sur votre système et de mettre à jour vos mots de passe par mesure de précaution.

Problèmes de communication : Nous avons également découvert un problème avec l'un de nos formulaires de contact qui pourrait avoir empêché une communication rapide, probablement le formulaire utilisé par les représentants de Kaspersky Lab pour nous contacter. Si vous avez tenté de nous contacter à propos de ce problème ou d'un autre problème connexe sans recevoir de réponse, veuillez nous contacter à nouveau à l'adresse support@freedownloadmanager.org.

Nous nous excusons sincèrement pour tout inconvénient ou préoccupation que cela pourrait causer. Assurer votre sécurité numérique reste au premier plan de nos efforts, et nous sommes inébranlables dans notre engagement à sauvegarder votre confiance.

Nous vous remercions de votre patience et de votre compréhension. Nous vous tiendrons au courant de l'évolution de la situation.

Meilleures salutations, l'équipe de Free Download Manager

2  2 
Commenter Signaler un problème