Depuis 2021, des milliers de systèmes Linux ont été infectés par un logiciel malveillant nommé Perfctl, connu pour sa furtivité et sa capacité à exploiter plus de 20 000 erreurs de configuration. Perfctl, qui s'installe principalement via des vulnérabilités, se cache sous des noms de fichiers légitimes et utilise des techniques avancées pour échapper à la détection, comme l'installation de rootkits et la manipulation des processus système. Les chercheurs d'Aqua Security alertent sur la menace persistante que représente Perfctl, soulignant que des millions de machines restent vulnérables si elles n'ont pas été mises à jour avec les correctifs nécessaires. Les utilisateurs sont encouragés à surveiller leur système pour des signes d'infection et à prendre des mesures préventives.Parmi les techniques de furtivité, on trouve l'interruption d'activités détectables lors de la connexion d'un nouvel utilisateur, l'utilisation d'un socket Unix via TOR pour les communications externes, la suppression du binaire d'installation après son exécution pour fonctionner ensuite en tant que service d'arrière-plan, la manipulation du processus Linux pcap_loop par le biais du hooking pour empêcher les outils d'administration de capturer le trafic malveillant, ainsi que l'élimination des erreurs mesg afin d'éviter toute alerte visible durant l'exécution.
Ce logiciel malveillant est conçu pour assurer sa persistance, c'est-à-dire sa capacité à rester sur la machine infectée même après des redémarrages ou des tentatives de suppression des composants principaux. Deux de ses méthodes incluent la modification du script ~/.profile, permettant au logiciel malveillant de se charger avant les tâches légitimes lors de la connexion de l'utilisateur, et la création de copies de lui-même à divers endroits sur le disque. L'accrochage de pcap_loop contribue également à sa persistance en permettant la poursuite des activités malveillantes même après la détection et la suppression des charges utiles principales.
En plus d'utiliser les ressources de la machine pour miner de la cryptomonnaie, Perfctl transforme également l'appareil en un proxy pour relayer le trafic Internet des clients. Les chercheurs d'Aqua Security ont également constaté que ce logiciel malveillant servait de porte dérobée pour installer d'autres types de logiciel malveillants. Assaf Morag, directeur de la veille sur les menaces chez Aqua Security, a noté par email que Perfctl constitue une menace sérieuse en raison de sa conception, qui lui permet de rester indétectable tout en persistant dans les systèmes infectés. Cette combinaison représente un défi pour les défenseurs, et le logiciel malveillant a été au centre d'un nombre croissant de rapports et de discussions sur divers forums, mettant en lumière la détresse et la frustration des utilisateurs infectés.
Perfctl utilise un rootkit et modifie certains utilitaires systèmes pour cacher les activités de minage et de piratage de proxy. Il s’intègre parfaitement dans l’environnement Linux avec des noms qui semblent légitimes. De plus, son architecture lui permet d'effectuer une large gamme d'activités malveillantes, allant de l'exfiltration de données au déploiement de charges utiles supplémentaires. Sa polyvalence le rend particulièrement dangereux tant pour les entreprises que pour les particuliers.
Après avoir exploité une vulnérabilité ou une mauvaise configuration, le code malveillant télécharge la charge utile principale à partir d'un serveur, généralement piraté par le cybercriminel pour servir de canal de distribution anonyme. Une attaque ciblant un pot de miel a identifié cette charge utile sous le nom de httpd. Une fois lancée, elle se copie dans un nouvel emplacement dans le répertoire /tmp, s'exécute, puis termine le processus original et supprime le binaire téléchargé.
Dans /tmp, le fichier s'exécute sous un autre nom, imitant un processus Linux connu, tel que "sh", et établit un processus de commande et de contrôle, tout en tentant d'obtenir des droits système en exploitant la CVE-2021-4043, une vulnérabilité d'élévation des privilèges corrigée en 2021 dans Gpac. Le logiciel malveillant continue à se copier dans plusieurs autres emplacements sur le disque, utilisant des noms qui ressemblent à des fichiers système. Il déploie également un rootkit, modifiant des utilitaires Linux populaires pour masquer ses activités, ainsi qu'un logiciel de "proxy-jacking" pour rediriger le trafic Internet de manière discrète.
Pour ses opérations de commande et de contrôle, le logiciel malveillant ouvre une prise Unix, crée deux répertoires dans /tmp et y stocke des données qui influencent son fonctionnement, comme les événements de l'hôte, les emplacements de ses copies, les noms de processus et les journaux de communication. Il utilise aussi des variables d'environnement pour gérer son exécution. Tous les binaires sont emballés, dépouillés et chiffrés, montrant des efforts significatifs pour contourner les mesures de sécurité et compliquer la rétro-ingénierie. De plus, le logiciel malveillant applique des techniques d'évasion avancées, comme l'interruption de son activité lorsqu'il détecte un nouvel utilisateur dans les fichiers btmp ou utmp et l'arrêt d'autres logiciels malveillants pour maintenir le contrôle sur le système infecté. Le diagramme ci-dessous illustre le déroulement de l'attaque :
En analysant des données sur le nombre de serveurs Linux connectés à Internet via divers services et applications, comme ceux suivis par Shodan et Censys, les chercheurs estiment que des milliers de machines sont infectées par Perfctl. Ils estiment également que le nombre de machines vulnérables — c'est-à-dire celles qui n'ont pas encore appliqué le correctif pour la vulnérabilité CVE-2023-33246 ou qui présentent des configurations incorrectes — se chiffre en millions. La quantité de crypto-monnaie générée par les mineurs malveillants n'a pas encore été évaluée.
Pour vérifier si leur appareil a été ciblé ou infecté par Perfctl, les utilisateurs doivent se référer aux indicateurs de compromission mentionnés dans le rapport de jeudi. Ils doivent également prêter attention à des pics inhabituels d'utilisation du processeur ou à des ralentissements soudains, notamment pendant les périodes d'inactivité. Pour prévenir les infections, il est crucial d'appliquer le correctif pour CVE-2023-33246 et de corriger les erreurs de configuration signalées par Aqua Security. Le rapport de jeudi contient d'autres recommandations pour éviter les infections.
Sécurité des systèmes d'exploitation et le mythe de l'immunité de Linux
La question de la sécurité entre Linux et Windows est devenue particulièrement pertinente à la lumière des récents incidents de sécurité, notamment avec l'apparition de logiciels malveillants tels que Perfctl. Cette situation soulève des interrogations sur la perception courante selon laquelle Linux est intrinsèquement plus sécurisé que Windows. Alors que Linux présente des avantages en matière de sécurité grâce à son architecture open source et à sa gestion stricte des permissions, l'impact de telles menaces souligne la vulnérabilité de tous les systèmes d'exploitation face à des erreurs de configuration et des exploits.
La comparaison de la sécurité entre Windows et Linux est un sujet riche et complexe, souvent débattu parmi les utilisateurs et les professionnels de l'informatique. Chaque système d'exploitation présente des avantages et des inconvénients en matière de sécurité, influencés par leur conception, leur architecture et leur utilisation dans le monde réel.
Tout d'abord, Linux est souvent considéré comme plus sécurisé que Windows, principalement en raison de sa structure open source. Cela signifie que son code source est accessible à tous, permettant une révision constante par la communauté. Cette transparence favorise la détection rapide des vulnérabilités et des failles de sécurité, qui peuvent être corrigées rapidement. De plus, la gestion des permissions sous Linux est généralement plus stricte, ce qui réduit le risque d'exploitation par des logiciels malveillants. Les utilisateurs ont également tendance à avoir un meilleur contrôle sur les services qui s'exécutent sur leur système, ce qui renforce la sécurité.
En revanche, Windows est souvent la cible privilégiée des cybercriminels en raison de sa popularité. Avec une part de marché importante, en particulier dans le secteur des entreprises, Windows est souvent perçu comme une proie lucrative. Bien que Microsoft ait considérablement amélioré la sécurité de Windows au fil des ans, en intégrant des fonctionnalités comme Windows Defender et des mises à jour de sécurité régulières, le système reste vulnérable à de nombreuses menaces. La facilité d'utilisation de Windows et sa compatibilité avec une multitude de logiciels en font une cible attrayante pour les attaques.
Un autre aspect à considérer est la gestion des mises à jour de sécurité. Sous Linux, les mises à jour sont souvent plus rapides et peuvent être centralisées via des gestionnaires de paquets. Cela permet aux utilisateurs de maintenir leur système à jour avec moins d'effort. À l'inverse, Windows a parfois été critiqué pour sa gestion des mises à jour, qui peut être intrusive et sujette à des interruptions. Les utilisateurs peuvent également négliger ces mises à jour, ce qui expose leur système à des risques de sécurité.
Perfctl illustre les défis auxquels Linux fait face malgré sa réputation de sécurité. Bien que la majorité des distributions Linux soient conçues pour minimiser les risques, ce logiciel malveillant a su exploiter des vulnérabilités et des configurations défaillantes pour se propager. L'ampleur de la menace, estimée à des millions de machines vulnérables, remet en question l'idée que le simple fait d'utiliser Linux suffit à garantir une sécurité solide. Ce constat rappelle que la sécurité d’un système d’exploitation dépend fortement de l’attention portée à la configuration, à la mise à jour et à la gestion des permissions.
Windows, en revanche, a longtemps été le principal objectif des cyberattaques, non seulement en raison de sa part de marché, mais aussi en raison de son architecture qui, dans le passé, a présenté des failles significatives. Cependant, Microsoft a renforcé ses mesures de sécurité ces dernières années, avec des mises à jour fréquentes et des outils intégrés tels que Windows Defender. Cela dit, la complexité croissante du système, alliée à la gestion parfois chaotique des mises à jour, continue de poser des problèmes. L’utilisateur moyen, peu sensibilisé aux bonnes pratiques de sécurité, reste plus vulnérable aux attaques, ce qui fait de Windows une cible de choix.
Une des leçons à tirer de l'incident de Perfctl est que même un système réputé pour sa sécurité peut être compromis. Cela souligne l'importance d'une vigilance constante et d'une éducation sur la sécurité pour tous les utilisateurs, qu'ils soient sous Linux ou Windows. Les comportements d'utilisation, tels que le téléchargement de logiciels non vérifiés ou la négligence des mises à jour de sécurité, sont des facteurs critiques qui peuvent mener à des infections, rendant ainsi chaque système potentiellement vulnérable.
La sécurité informatique ne devrait pas être perçue comme un simple choix entre deux systèmes d'exploitation, mais plutôt comme un ensemble de pratiques et de responsabilités partagées. Les utilisateurs doivent être proactifs dans la protection de leurs systèmes, qu'ils choisissent Linux ou Windows. L’incident de Perfctl met en lumière la nécessité de sensibiliser davantage les utilisateurs aux risques associés à l'utilisation de tout système d'exploitation et à l'importance d'une configuration correcte, d'une mise à jour régulière et d'une surveillance active pour assurer une sécurité optimale. En somme, chaque système a ses forces et ses faiblesses, mais la sécurité dépend avant tout des actions des utilisateurs.
Source : Aquasec
Et vous ?
Quel est votre avis sur le sujet ? Pensez-vous que Linux offre une meilleure sécurité que Windows ? Dans quelle mesure l'architecture open source de Linux contribue-t-elle réellement à sa sécurité par rapport à des systèmes propriétaires comme Windows ?Voir aussi :
Grave faille RCE non authentifiée (CVSS 9.9) dans les systèmes GNU/Linux en attente de divulgation complète, la vulnérabilité permet l'exécution de code à distance non authentifiée (RCE) Kaspersky lance un scanner de malwares pour Linux, mais à qui faire le plus confiance ? Les malwares ou Kaspersky ? Avec le logiciel russe Kaspersky, vous êtes sûr que la NSA n'aura pas accès à vos données La nouvelle attaque Spectre V2 touche les systèmes Linux équipés de processeurs Intel, permettant aux attaquants non authentifiés de lire des données de mémoire arbitraires en contournant la sécurité 
