Un logiciel malveillant Linux jamais vu auparavant est bien plus avanc\u00e9 que la normale<\/p>\n
Des chercheurs ont d\u00e9couvert un framework in\u00e9dit qui infecte les machines Linux avec un large \u00e9ventail de modules remarquables par la gamme de capacit\u00e9s avanc\u00e9es qu’ils offrent aux attaquants.<\/p>\n
Le framework, d\u00e9sign\u00e9 sous le nom de VoidLink par son code source, comprend plus de 30 modules qui peuvent \u00eatre utilis\u00e9s pour personnaliser les capacit\u00e9s selon les besoins des attaquants pour chaque machine infect\u00e9e. Ces modules peuvent fournir une discr\u00e9tion suppl\u00e9mentaire et des outils sp\u00e9cifiques pour la reconnaissance, l’escalade de privil\u00e8ges et les d\u00e9placements lat\u00e9raux \u00e0 l’int\u00e9rieur d’un r\u00e9seau compromis. Les composants peuvent \u00eatre facilement ajout\u00e9s ou retir\u00e9s \u00e0 mesure que les objectifs changent au cours d’une campagne.<\/p>\n
Un accent sur Linux dans le cloud<\/p>\n
VoidLink peut cibler des machines au sein de services cloud populaires en d\u00e9tectant si une machine infect\u00e9e est h\u00e9berg\u00e9e dans AWS, GCP, Azure, Alibaba et Tencent, et il existe des indications que les d\u00e9veloppeurs pr\u00e9voient d’ajouter des d\u00e9tections pour Huawei, DigitalOcean et Vultr dans les futures versions. Pour d\u00e9tecter quel service cloud h\u00e9berge la machine, VoidLink examine les m\u00e9tadonn\u00e9es en utilisant l’API du fournisseur concern\u00e9.<\/p>\n
Des frameworks similaires ciblant les serveurs Windows existent depuis des ann\u00e9es. Ils sont moins courants sur les machines Linux. L’ensemble des fonctionnalit\u00e9s est exceptionnellement large et est bien plus avanc\u00e9 que les logiciels malveillants Linux typiques, ont d\u00e9clar\u00e9 des chercheurs de Checkpoint, l’entreprise de s\u00e9curit\u00e9 qui a d\u00e9couvert VoidLink. Sa cr\u00e9ation peut indiquer que l’attention des attaquants s’\u00e9tend de plus en plus pour inclure les syst\u00e8mes Linux, l’infrastructure cloud et les environnements de d\u00e9ploiement d’applications, \u00e0 mesure que les organisations transf\u00e8rent de plus en plus leurs charges de travail vers ces environnements.<\/p>\n
VoidLink est un \u00e9cosyst\u00e8me complet con\u00e7u pour maintenir un acc\u00e8s discret \u00e0 long terme aux syst\u00e8mes Linux compromis, en particulier ceux fonctionnant sur des plateformes cloud publiques et dans des environnements conteneuris\u00e9s, ont d\u00e9clar\u00e9 les chercheurs dans un article s\u00e9par\u00e9. Sa conception refl\u00e8te un niveau de planification et d’investissement g\u00e9n\u00e9ralement associ\u00e9 \u00e0 des acteurs de menaces professionnels plut\u00f4t qu’\u00e0 des attaquants opportunistes, ce qui augmente les enjeux pour les d\u00e9fenseurs qui pourraient ne jamais r\u00e9aliser que leur infrastructure a \u00e9t\u00e9 discr\u00e8tement prise en main.<\/p>\n
L’interface de VoidLink est localis\u00e9e pour des op\u00e9rateurs affili\u00e9s \u00e0 la Chine, une indication qu’il provient probablement d’un environnement de d\u00e9veloppement affili\u00e9 \u00e0 la Chine. Les symboles et commentaires dans le code source sugg\u00e8rent que VoidLink est toujours en d\u00e9veloppement. Un autre signe que le framework n’est pas encore termin\u00e9 : Checkpoint n’a trouv\u00e9 aucun signe qu’il ait infect\u00e9 des machines dans la nature. Les chercheurs de l’entreprise l’ont d\u00e9couvert le mois dernier dans une s\u00e9rie de clusters de logiciels malveillants Linux disponibles via VirusTotal.<\/p>\n
Inclus dans le lot de binaires se trouvait un chargeur en deux \u00e9tapes. L’implant final comprend des modules de base int\u00e9gr\u00e9s qui peuvent \u00eatre augment\u00e9s par des plugins t\u00e9l\u00e9charg\u00e9s et install\u00e9s lors de l’ex\u00e9cution. Les capacit\u00e9s des 37 modules d\u00e9couverts jusqu’\u00e0 pr\u00e9sent incluent :<\/p>\n
Un savoir-faire ax\u00e9 sur le cloud. En plus de la d\u00e9tection du cloud, ces modules collectent de vastes quantit\u00e9s d’informations sur la machine infect\u00e9e, \u00e9num\u00e9rant son hyperviseur et d\u00e9tectant s’il fonctionne dans un conteneur Docker ou un pod Kubernetes.
\nDes API de d\u00e9veloppement de plugins. VoidLink offre une API de d\u00e9veloppement \u00e9tendue qui est mise en place lors de l’initialisation du logiciel malveillant.
\nUne discr\u00e9tion adaptative. VoidLink \u00e9num\u00e8re les produits de s\u00e9curit\u00e9 install\u00e9s et les mesures de renforcement.
\nDes fonctions rootkit qui permettent \u00e0 VoidLink de se fondre dans l’activit\u00e9 syst\u00e8me normale.
\nLe commandement et contr\u00f4le mis en \u0153uvre via ce qui semble \u00eatre des connexions r\u00e9seau sortantes l\u00e9gitimes.
\nL’anti-analyse en employant des techniques anti-d\u00e9bogage et des contr\u00f4les d’int\u00e9grit\u00e9 pour identifier les outils d’analyse courants.
\nUn syst\u00e8me de plugins qui permet \u00e0 VoidLink d’\u00e9voluer d’un implant \u00e0 un framework de post-exploitation complet.
\nLa reconnaissance qui fournit un profilage d\u00e9taill\u00e9 du syst\u00e8me et de l’environnement, l’\u00e9num\u00e9ration des utilisateurs et des groupes, la d\u00e9couverte des processus et des services, la cartographie du syst\u00e8me de fichiers et des montages, et la cartographie de la topologie r\u00e9seau locale et des interfaces.
\nLa collecte d’informations d’identification des cl\u00e9s SSH, des mots de passe et des cookies stock\u00e9s par les navigateurs, des identifiants git, des jetons d’authentification, des cl\u00e9s API et des \u00e9l\u00e9ments stock\u00e9s dans le trousseau syst\u00e8me.<\/p>\n
Sans indication que VoidLink cible activement des machines, aucune action imm\u00e9diate n’est requise de la part des d\u00e9fenseurs, bien qu’ils puissent obtenir des indicateurs de compromission \u00e0 partir de l’article de blog de Checkpoint. VoidLink indique n\u00e9anmoins que les d\u00e9fenseurs doivent faire preuve de vigilance lorsqu’ils travaillent avec des machines Linux.<\/p>\n","protected":false},"excerpt":{"rendered":"
Un logiciel malveillant Linux jamais vu auparavant est bien plus avanc\u00e9 que la normale Des chercheurs ont d\u00e9couvert un framework in\u00e9dit qui infecte les machines Linux avec un large \u00e9ventail de modules remarquables par la gamme de capacit\u00e9s avanc\u00e9es qu’ils offrent aux attaquants. Le framework, d\u00e9sign\u00e9 sous le nom de VoidLink par son code source,<\/p>\n","protected":false},"author":3,"featured_media":310,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[78],"tags":[],"class_list":["post-309","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-informatique"],"_links":{"self":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/comments?post=309"}],"version-history":[{"count":0,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/309\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media\/310"}],"wp:attachment":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media?parent=309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/categories?post=309"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/tags?post=309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}