HiddenWasp : un programme malveillant détecté sur Linux,
Capable de contrôler totalement les machines infectées

Le , par Bruno

52PARTAGES

22  0 
Lorsque les acteurs de la menace obtiennent l’accès à un système, ils ont habituellement le désir de perpétrer cet accès et de le rendre bien plus simple et facile. Pour y parvenir, une porte dérobée peut être installée par l’attaquant pour rendre possibles les futurs accès. Les chercheurs d'Intezer ont découvert la semaine dernière une porte dérobée sous Linux surnommée HiddenWasp. Selon les chercheurs, cette porte dérobée est une suite de programmes comprenant un cheval de Troie, un rootkit et un script de déploiement initial.

Différents des autres programmes malveillants s’exécutant sous Linux, le code et les preuves collectées montrent que les ordinateurs infectés ont déjà été préalablement compromis par ces mêmes acteurs de la menace. L’exécution de HiddenWasp serait donc une phase avancée dans la chaîne de destruction de cette menace. Bien que l’article indique qu’on ne sait pas combien d’ordinateurs ont été infectés ni comment les étapes précédentes ont été déroulées, il convient de noter tout de même que la plupart des programmes du type backdoors sont installés en cliquant sur un objet (lien, image ou fichier exécutable), cela sans que l'utilisateur ne se rende compte que c'est une menace.


L’ingénierie sociale qui est une forme d’attaque utilisée par les chevaux de Troie pour tromper les victimes en les incitant à installer des suites de logiciels tels que HiddenWasp sur leurs ordinateurs ou équipements mobiles pourrait être la technique adoptée par ces attaquants pour atteindre leur cible. « Les logiciels malveillants sous Linux encore inconnus d’autres plates-formes pourraient créer de nouveaux défis pour la communauté de la sécurité », écrivait le chercheur Intezer, Ignacio Sanmillan, dans son article de mercredi. « Le fait que ce programme malveillant parvienne à rester sous le radar devrait être une alerte pour que le secteur de la sécurité consacre davantage d'efforts ou de ressources à la détection de ces menaces », a-t-il poursuivi.

Dans sa stratégie d’évasion et de dissuasion, le Kit utilise un script bash accompagné d'un fichier binaire. Selon les chercheurs d'Intezer, les fichiers téléchargés sur Virus Total ont un chemin contenant le nom d'une société de criminalistique basée en Chine, à savoir Shen Zhou Wang Yun. En plus, les logiciels malveillants seraient hébergés sur des serveurs d'une société d'hébergement de serveurs physiques appelée Think Dream située à Hong Kong.

Source : Intezer

Et vous ?

Qu'en pensez-vous ?

Linux, serait-il aussi vulnérable que Windows ?

Voir aussi

Une faille grave du noyau Linux a été découverte dans RDS, Red Hat, Ubuntu, Debian et SUSE affectées

Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n'est disponible pour le moment

Une faille dans la brique de base des systèmes de conteneurisation RunC permet une évasion des conteneurs Linux, pour gagner un accès root sur l'hôte

Microsoft découvre une porte dérobée dans un pilote d'ordinateur portable Huawei, qui permettrait à des hackers d'avoir accès à toutes les données

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/06/2019 à 16:05
Je comprends mieux pourquoi l'armée chinoise se passe de linux pour changer d'OS.

edit : la backdoor a été implémentée par des chinois d'où mon propos juste au dessus
Avatar de Steinvikel
Membre éprouvé https://www.developpez.com
Le 04/06/2019 à 18:11
Après avoir lu l'actualité, je suis rassuré de comprendre que cette menace ne vient pas d'une partie du code du noyau, mais que sa présence est du à l'entité entre la chaise et le clavier. ^^'
A part ClamAV ...pour linux, vous connaissez quoi pour renforcer la sécurité, pour ceux qui n'y connaissent pas grand chose ?

J'ai eu connaissance de logiciels qui peuvent :
- détecter l'escalade de privilèges pour les processus en cours
- et supprimer le processus avant l'exécution du code d'exploitation
- bloquer les attaques (comme ClamAV)

...je les compte sur les doigts de la mains, la sécurité est pourtant aussi critique /importante que sur Windows, bien que plus élevé par défaut.
Je suppose donc qu'il y a beaucoup de solutions sur le marché, notamment adressé aux entreprises. Mais j'ai aucune visibilité sur ces produits.
Quelqu'un sait où trouver des info sur ces produits ?
Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/06/2019 à 19:02
J'ai un pote génial qui s'appelle Google: dans la liste je choisirai Sophos.
Mais les antivirus ont laissé passer cette faille donc prudence.
Avatar de grigric
Membre régulier https://www.developpez.com
Le 04/06/2019 à 22:25
bonjour,
sous linux, il y a beaucoup de logiciels de sécurité efficace et open source.
Tout dépend de ce que tu recherches, par contre, un antivirus ne bloque pas vraiment les attaques, ce n'est pas un ips...
Il y a tripwire, AIDE, wazuh, fail2ban, suricata, snort, chkrootkit, lynis, etc...
Avatar de abriotde
Membre éprouvé https://www.developpez.com
Le 04/06/2019 à 22:50
Beaucoup d'antivirus Windows ont une version Linux. Au bureau j'ai Kaspersky par exp.
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 05/06/2019 à 7:36
Il y a AppArmor

Avatar de CaptainDangeax
Membre éclairé https://www.developpez.com
Le 05/06/2019 à 9:02
Donc, pour l'exploitation de cette faille, c'est donc une série de logiciels qui doivent être installés par l'utilisateur avec des droits root et qui permet la prise de contrôle à distance de Linux. Oui, oui, oui
On peut aussi le faire avec SSH, autoriser la connexion du root sans mot de passe...
On peut aussi créer un compte guest sans mot de passe avec les droits sudo...
Pour l'administrateur d'un réseaux de postes de travail sous Linux, la mesure est très simple :
- /home monté sur une partition séparée et avec le flag noexec
- compte utilisateur sans escalade sudo.
- et services réduits au strict nécessaire.
Et pas besoin de solutions tierces parties.

ça fait 26 ans que j'utilise Linux. ça fait 26 ans que je lis des news sur des vecteurs d'attaque. Et ça fait 26 ans que ces failles ne sont exploitables qu'avec une longue liste de prérequis : incompétence de l'administrateur, sécurité diminuée par rapport à l'installation du système depuis l'iso, intervention de l'utilisateur avec des droits root.

Le jour où on aura l'équivalent d'un wannacry ou d'un blaster qui s'installe et s'éxécute tout seul sur un parc Linux sans aucun des 3 prérequis que j'ai indiqué ci-dessus, réveillez-moi.
Avatar de htoukour
Membre régulier https://www.developpez.com
Le 05/06/2019 à 10:39
Entièrement d'accord avec CaptainDangeax. Linux te donne le choix.
Avatar de zozizozu
Membre régulier https://www.developpez.com
Le 05/06/2019 à 17:55
Pareil, bien d'accord avec @CaptainDangeax, pour la prod...
A la maison, je suis plus tranquille, ( sudo et compagnie ), et je m'autorise de tester un peut tout et n'importe quoi ( bon, je ne suis pas les liens d'email non identifiés hein ).

Donc fail2ban + tripwire
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 05/06/2019 à 23:43
@CaptainDangeax

Une attaque avec un paquetage semble l'explication la plus évidente. Mais avec le backdoor inclus avec la CPU intel. Les choses ne sont plus aussi simple.

À partir du moment qu'il est possible d'avoir le mot de passe de l'administrateur, les risques de Rootkit deviennent énormes.
Responsable bénévole de la rubrique Linux : chrtophe -

Partenaire : Hébergement Web