Julien
Le nombre d’infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, le plus souvent pour recruter des appareils IoT pour les attaques DDoS (déni de service distribué).
Les IoT sont généralement des appareils « intelligents » sous-alimentés exécutant diverses distributions Linux et sont limités à des fonctionnalités spécifiques. Cependant, lorsque leurs ressources sont combinées en grands groupes, ils peuvent lancer des attaques DDoS massives même sur une infrastructure bien protégée.
Outre les DDoS, les appareils Linux IoT sont recrutés pour exploiter la crypto-monnaie, faciliter les campagnes de courrier indésirable, servir de relais, agir en tant que serveurs de commande et de contrôle, ou même servir de points d’entrée dans les réseaux d’entreprise.
Un rapport Crowdstrike examinant les données d’attaque de 2021 résume ce qui suit :
- En 2021, il y a eu une augmentation de 35 % des logiciels malveillants ciblant les systèmes Linux par rapport à 2020.
- XorDDoS, Mirai et Mozi étaient les familles les plus répandues, représentant 22 % de toutes les attaques de logiciels malveillants ciblant Linux observées en 2021.
- Mozi, en particulier, a connu une croissance explosive de son activité, avec dix fois plus d’échantillons circulant dans la nature l’année qui s’est écoulée par rapport à la précédente.
- XorDDoS a également connu une augmentation notable de 123 % d’une année sur l’autre.
Présentation des programmes malveillants
XorDDoS est un cheval de Troie Linux polyvalent qui fonctionne dans plusieurs architectures système Linux, de ARM (IoT) à x64 (serveurs). Il utilise le cryptage XOR pour les communications C2, d’où son nom.
Lors de l’attaque d’appareils IoT, XorDDoS force brutalement les appareils vulnérables via SSH. Sur les machines Linux, il utilise le port 2375 pour obtenir un accès root sans mot de passe à l’hôte.
Un cas notable de distribution du malware a été montré en 2021 après qu’un acteur menaçant chinois connu sous le nom de « Winnti » a été observé en train de le déployer avec d’autres botnets dérivés.
Mozi est un botnet P2P qui s’appuie sur le système de recherche de table de hachage distribuée (DHT) pour masquer les communications C2 suspectes des solutions de surveillance du trafic réseau.
Le botnet particulier existe depuis un certain temps, ajoutant continuellement plus de vulnérabilités et élargissant sa portée de ciblage.
Source : Crowdstrike
Mirai est un botnet notoire qui a engendré de nombreuses fourches en raison de son code source accessible au public qui continue d’affliger le monde de l’IoT.
Les différents dérivés implémentent différents protocoles de communication C2, mais ils abusent tous généralement des informations d’identification faibles pour forcer brutalement les appareils.
Nous avons couvert plusieurs variantes notables de Mirai en 2021, comme « Dark Mirai », qui se concentre sur les routeurs domestiques, et « Moobot », qui cible les caméras.
« Certaines des variantes les plus répandues suivies par les chercheurs de CrowdStrike impliquent Sora, IZIH9 et Rekai », explique le chercheur de CrowdStrike Mihai Maganu dans le rapport. « Par rapport à 2020, le nombre d’échantillons identifiés pour les trois variantes a augmenté de 33 %, 39 % et 83 % respectivement en 2021. »
Une tendance qui se poursuit en 2022
Les conclusions de Crowstrike ne sont pas surprenantes car elles confirment une tendance continue qui a émergé au cours des années précédentes.
Par exemple, un Rapport Intezer l’analyse des statistiques de 2020 a révélé que les familles de logiciels malveillants Linux ont augmenté de 40 % en 2020 par rapport à l’année précédente.
Source : Intezer
Au cours des six premiers mois de 2020, une forte augmentation de 500 % des logiciels malveillants Golang a été enregistrée, ce qui montre que les auteurs de logiciels malveillants cherchaient des moyens de faire fonctionner leur code sur plusieurs plates-formes.
Cette programmation, et par extension, la tendance au ciblage, a déjà été confirmée dans les cas du début de 2022 et devrait se poursuivre sans relâche.