Posté le juillet 9, 2022 à 7:10
DES CHERCHEURS DÉCOUVRENT LE LOGICIEL MALVEILLANT ORBIT QUI INFECTE LES DISPOSITIFS LINUX
Des chercheurs ont découvert un nouveau logiciel malveillant pour Linux, conçu pour ouvrir une porte dérobée sur les systèmes Linux et compromettre tous les processus en cours d’exécution dans le système. Les chercheurs en cybersécurité d’Intezer Labs, qui ont été les premiers à découvrir le logiciel malveillant dans la nature, l’ont baptisé OrBit.
Les chercheurs ont déclaré que le logiciel malveillant est capable de pirater des bibliothèques pour intercepter des appels de fonction. Il peut également modifier la variable d’environnement LD_PRELOAD sur les appareils concernés.
OrBit est connu pour avoir différents moyens d’accéder au système ciblé. Il peut empêcher les tentatives de suppression sur le système affecté, et peut être utilisé comme un implant instable lorsqu’il est copié dans la mémoire shim. En outre, il dispose de plusieurs méthodes pour échapper à la détection, notamment en se cachant derrière diverses fonctions.
Le logiciel malveillant OrBit maintient une forte persistance
Les chercheurs ont révélé qu’OrBit peut maintenir sa persistance et contrôler le comportement des processus en dissimulant les activités du réseau tout en infectant de nouveaux processus. Le logiciel malveillant est considéré comme très dangereux et très évasif pour maintenir sa persistance d’attaque pendant une très longue période.
Par exemple, après s’être injecté dans des processus, le logiciel malveillant OrBit peut manœuvrer pour dissimuler plusieurs traces de son existence en filtrant les activités enregistrées.
Nicole Fishbein, chercheuse en sécurité chez Intezer Labs, a déclaré que le logiciel malveillant met en œuvre des techniques d’évasion avancées en accrochant des fonctions majeures. Cela permet aux hackers d’accéder à distance au système.
Après avoir été installé avec succès, le logiciel malveillant infecte tous les processus en cours d’exécution, qu’ils soient anciens ou nouveaux, sur le système.
Bien que les composants de la charge utile et du dropper d’OrBit n’aient pas été détectés par les logiciels de sécurité lors de la découverte initiale du logiciel malveillant, certains vendeurs de produits anti-virus ont averti leurs clients de l’existence du logiciel malveillant. Certains des composants récemment mis à jour peuvent détecter le logiciel malveillant, mais celui-ci a été conçu pour être mis à jour en permanence afin d’échapper à la sécurité.
OrBit s’installe en se chargeant dans un appareil ou une machine Linux par le biais d’un dropper. Outre l’installation de la charge utile, le dropper définit également l’environnement d’exécution du logiciel malveillant. La charge utile utilise une fonction appelée patch_Id pour installer la charge utile et l’inclure dans les bibliothèques partagées. Selon les chercheurs, cette fonction est exécutée pour savoir si le logiciel malveillant a été chargé en recherchant le chemin utilisé par le logiciel malveillant.
De nouveaux logiciels malveillants pour Linux sont apparus dans la nature
De nouveaux logiciels malveillants pour Linux ont été découverts dans la nature ces derniers temps. Le logiciel malveillant Orbit n’est pas le premier à compromettre les systèmes Linux, car d’autres sont capables d’utiliser des approches similaires pour créer des portes dérobées.
Le logiciel malveillant BPFDoor, également découvert récemment, en est un bon exemple. Il a été repéré en train de cibler des systèmes Linux et de se camoufler avec les noms de démons Linux populaires. Cette approche a permis au logiciel malveillant de rester caché et non détecté par les systèmes de sécurité pendant plusieurs années.
Un autre est le logiciel malveillant Symbiote qui utilise également le LD_PRELOAD utilisé par OrBit pour se charger dans un processus en cours. Il agit comme un parasite à l’échelle du système et dissimule correctement ses activités pour ne laisser aucun indice d’infection.
Ces types de logiciels malveillants utilisent la fonctionnalité d’accrochage du Berkeley Packet Filter (BPF) pour manipuler et surveiller le trafic réseau. Cela permet au logiciel malveillant de rester caché du système de communication du logiciel de sécurité.
Un autre logiciel malveillant pour Linux, connu sous le nom de Syslogk, a été découvert dans la nature. Ce rootkit est encore en cours de développement mais a été découvert par les chercheurs d’Avast le mois dernier. Selon ces derniers, le nouveau logiciel malveillant est capable de charger de force ses modules dans le noyau Linux et d’accéder aux machines infectées. Il peut également dissimuler le trafic réseau et les répertoires pour contourner les systèmes de sécurité.
Le logiciel malveillant Orbit a de fortes capacités
Bien qu’Orbit ne soit pas la principale ou la première souche de logiciel malveillant ciblant les systèmes Linux, il est néanmoins doté de solides capacités qui le distinguent des autres menaces.
Fishbein indique que le logiciel malveillant vole des informations à partir de différents utilitaires et commandes et utilise des fichiers spécifiques pour les stocker sur le système compromis. De plus, le logiciel malveillant occupe désormais de l’espace pour stocker ses données collectées à partir de plusieurs sections de la machine, ce qui n’était pas le cas auparavant.
Il ajoute que le logiciel malveillant est unique en raison de son accrochage quasi hermétique aux bibliothèques du système compromis. Cela confère au logiciel malveillant un accès puissant et une grande persistance. Il a été conçu de manière stratégique pour contourner les contrôles de sécurité tout en créant une porte dérobée SSH et en volant des informations. Le chercheur a également noté que les développeurs du logiciel malveillant pourraient encore ajouter des caractéristiques supplémentaires à ses fonctionnalités. Cela rendra sans doute le logiciel malveillant plus puissant et suffisamment fort pour échapper à la détection.