Posté le juin 14, 2022 à 9:58
DES CHERCHEURS DÉCOUVRENT UN NOUVEAU LOGICIEL MALVEILLANT DIFFICILE À DÉTECTER SUR LES SYSTÈMES BASÉS SUR LINUX
Un logiciel malveillant pour Linux récemment découvert, appelé Symbiote, infecte tous les processus en cours d’exécution sur les systèmes compromis. Le logiciel malveillant vole des comptes et fournit un accès backdoor à ses opérateurs.
Une fois que le logiciel malveillant s’est introduit dans les processus en cours d’exécution du système ciblé, il agit comme un parasite à l’échelle du système. Il ne laisse aucun signe exclusif d’infection, même pour les scrupuleux inspecteurs en profondeur. Le logiciel malveillant utilise la fonctionnalité de crochetage du Berkeley Packet Filter (BPF) pour extraire les paquets de données du réseau avant de dissimuler ses canaux de communication aux outils de sécurité.
Le logiciel malveillant est presque impossible à détecter
Les chercheurs de Blackberry et d’Intezer Labs ont découvert et analysé la nouvelle menace. Les deux entreprises ont travaillé en équipe pour découvrir certains détails du nouveau logiciel malveillant avant de fournir un rapport complet sur leurs découvertes. Selon les chercheurs, les opérateurs de Symbiote ont commencé à développer le logiciel malveillant l’année dernière.
Le logiciel malveillant est presque impossible à détecter
Les chercheurs de Blackberry et d’Intezer Labs ont découvert et analysé la nouvelle menace. Les deux entreprises ont travaillé en équipe pour découvrir certains détails du nouveau logiciel malveillant avant de fournir un rapport complet sur leurs découvertes. Selon les chercheurs, les opérateurs de Symbiote ont commencé à développer le logiciel malveillant l’année dernière.
Comme il est le premier à se charger, Symbiote est capable de saisir les fonctions « lipcap » et « libc » et d’effectuer diverses actions pour se protéger et rester caché pendant longtemps. Il peut également cacher des fichiers et dissimuler des processus parasites tout en recueillant davantage d’informations sur l’appareil infecté.
Un rapport sur les activités du logiciel malveillant indique que ce dernier peut sélectionner les résultats qu’il affiche après s’être injecté dans les processus.
Une fois que l’administrateur lance un paquet capturant le trafic réseau suspect sur une machine infectée, le logiciel malveillant peut s’injecter dans les processus du logiciel d’inspection. Symbiote peut utiliser la fonctionnalité « BPF hooking » pour filtrer les résultats qui auraient pu exposer son identité. Selon les chercheurs, le logiciel malveillant est conçu pour se rendre trop difficile à trouver par les logiciels de sécurité. Cela lui permet de rester dans le système pendant très longtemps sans être découvert alors qu’il mène ses activités invasives massives.
Des hackers utilisent Symbiote pour la collecte automatisée de données d’identification
Les chercheurs ont également noté que Symbiote dissimule son activité réseau malveillante sur l’appareil affecté en effaçant les entrées de connexion qu’il veut cacher avant d’effectuer le filtrage des paquets par BPF. Ensuite, il supprime le trafic UDP vers les noms de domaine figurant dans sa liste.
Le nouveau logiciel malveillant est principalement utilisé pour la collecte automatisée d’informations d’identification à partir d’appareils Linux compromis via l’accrochage de la fonctionnalité « libc read ».
C’est une mission importante que de cibler les serveurs Linux, en particulier ceux des réseaux à haute valeur ajoutée. En effet, lorsque le logiciel malveillant vole les informations d’identification du compte, il ouvre la voie à un accès illimité à l’ensemble du système ainsi qu’à un mouvement latéral sans entrave.
Symbiote est également très efficace pour offrir un accès SHH à la machine aux opérateurs distants par le biais du service PAM. L’informatique offre par ailleurs aux hackers un moyen d’obtenir des privilèges root sur l’appareil.
Le logiciel malveillant cible des organisations du secteur financier
Les chercheurs ont également déclaré que le logiciel malveillant cible des entreprises du secteur financier, notamment en Amérique latine. Les hackers ont utilisé le logiciel malveillant pour usurper l’identité de la police fédérale du Brésil et des banques du pays.
En outre, la détection d’une infection par ce logiciel malveillant est généralement très difficile car il fonctionne comme un rootkit au niveau de l’utilisateur, ajoutent les chercheurs.
Cela en fait un logiciel malveillant très puissant et dangereux. De plus, Symbiote a été créé récemment. Cela signifie qu’aucune recherche exhaustive n’a encore été menée sur ce logiciel malveillant. Par conséquent, il pourrait avoir d’autres fonctionnalités qui n’ont pas encore été découvertes ou les opérateurs pourraient le mettre à jour pour qu’il ait plus de capacités d’attaque.
Les chercheurs ont recommandé quelques mesures de sécurité qui peuvent permettre aux entreprises d’éviter d’exposer leurs appareils à des logiciels malveillants. La télémétrie réseau peut être utilisée pour détecter les outils de sécurité ou les requêtes DNS anormales, comme les EDR et les AV. Ils doivent être connectés de manière statique pour s’assurer qu’ils ne sont pas infectés par des rootkits de l’utilisateur.
Étant donné que de plus en plus de réseaux d’entreprise utilisent le système Linux en permanence, ces menaces avancées et hautement invasives sont susceptibles d’augmenter considérablement contre ces organisations. Une porte dérobée similaire connue sous le nom de BPFDoor a été découverte utilisant BPF pour répertorier le trafic réseau sur les systèmes compromis. Les chercheurs ont déclaré que ces attaques pourraient se multiplier et que les entités devraient concevoir des moyens plus efficaces de protéger leurs systèmes.
