Lorsque les acteurs de la menace obtiennent l’accès à un système, ils ont habituellement le désir de perpétrer cet accès et de le rendre bien plus simple et facile. Pour y parvenir, une porte dérobée peut être installée par l’attaquant pour rendre possibles les futurs accès. Les chercheurs d'Intezer ont découvert la semaine dernière une porte dérobée sous Linux surnommée HiddenWasp. Selon les chercheurs, cette porte dérobée est une suite de programmes comprenant un cheval de Troie, un rootkit et un script de déploiement initial.
Différents des autres programmes malveillants s’exécutant sous Linux, le code et les preuves collectées montrent que les ordinateurs infectés ont déjà été préalablement compromis par ces mêmes acteurs de la menace. L’exécution de HiddenWasp serait donc une phase avancée dans la chaîne de destruction de cette menace. Bien que l’article indique qu’on ne sait pas combien d’ordinateurs ont été infectés ni comment les étapes précédentes ont été déroulées, il convient de noter tout de même que la plupart des programmes du type backdoors sont installés en cliquant sur un objet (lien, image ou fichier exécutable), cela sans que l'utilisateur ne se rende compte que c'est une menace.
L’ingénierie sociale qui est une forme d’attaque utilisée par les chevaux de Troie pour tromper les victimes en les incitant à installer des suites de logiciels tels que HiddenWasp sur leurs ordinateurs ou équipements mobiles pourrait être la technique adoptée par ces attaquants pour atteindre leur cible. « Les logiciels malveillants sous Linux encore inconnus d’autres plates-formes pourraient créer de nouveaux défis pour la communauté de la sécurité », écrivait le chercheur Intezer, Ignacio Sanmillan, dans son article de mercredi. « Le fait que ce programme malveillant parvienne à rester sous le radar devrait être une alerte pour que le secteur de la sécurité consacre davantage d'efforts ou de ressources à la détection de ces menaces », a-t-il poursuivi.
Dans sa stratégie d’évasion et de dissuasion, le Kit utilise un script bash accompagné d'un fichier binaire. Selon les chercheurs d'Intezer, les fichiers téléchargés sur Virus Total ont un chemin contenant le nom d'une société de criminalistique basée en Chine, à savoir Shen Zhou Wang Yun. En plus, les logiciels malveillants seraient hébergés sur des serveurs d'une société d'hébergement de serveurs physiques appelée Think Dream située à Hong Kong.
Source : Intezer
Et vous ?
Qu'en pensez-vous ?
Linux, serait-il aussi vulnérable que Windows ?
Voir aussi
Une faille grave du noyau Linux a été découverte dans RDS, Red Hat, Ubuntu, Debian et SUSE affectées
Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n'est disponible pour le moment
Une faille dans la brique de base des systèmes de conteneurisation RunC permet une évasion des conteneurs Linux, pour gagner un accès root sur l'hôte
Microsoft découvre une porte dérobée dans un pilote d'ordinateur portable Huawei, qui permettrait à des hackers d'avoir accès à toutes les données
HiddenWasp : un programme malveillant détecté sur Linux,
Capable de contrôler totalement les machines infectées
HiddenWasp : un programme malveillant détecté sur Linux,
Capable de contrôler totalement les machines infectées
Le , par Bruno
Une erreur dans cette actualité ? Signalez-nous-la !