Sa réputation de sécurité signifie que Linux est souvent considéré comme moins vulnérable aux types de menaces qui affectent régulièrement les systèmes Microsoft Windows. Une grande partie de cette sécurité perçue provient du nombre relativement faible de systèmes Linux, mais les cybercriminels commencent à voir la valeur du choix la qualité plutôt que la quantité?
Le paysage des menaces Linux est en train de changer
Des chercheurs en sécurité d'entreprises telles que Kaspersky et Blackberry, ainsi que des agences fédérales comme le FBI et NSA mettent en garde contre les auteurs de malwares qui se concentrent davantage sur Linux.
Le système d'exploitation est désormais reconnu comme une passerelle vers des données précieuses telles que les secrets commerciaux, la propriété intellectuelle et les informations personnelles. Les serveurs Linux peuvent également être utilisés comme point de départ pour l'infection de réseaux plus larges remplis d'appareils Windows, macOS et Android.
Même s'il ne s'agit pas du système d'exploitation de votre ordinateur de bureau ou de votre ordinateur portable, vos données seront probablement exposées à Linux tôt ou tard. Vos fournisseurs de stockage dans le cloud, de VPN et de messagerie, ainsi que votre employeur, votre assurance maladie, vos services gouvernementaux ou votre université, le sont presque certainement exécutant Linux dans le cadre de leurs réseaux, et il y a de fortes chances que vous possédiez ou posséderez un appareil Internet des objets (IoT) sous Linux maintenant ou dans le avenir.
De multiples menaces ont été découvertes au cours des 12 derniers mois. Certains sont des malwares Windows connus portés sur Linux, tandis que d'autres sont restés inaperçus sur les serveurs depuis près d'une décennie, ce qui montre à quel point les équipes de sécurité ont sous-estimé le risque.
De nombreux administrateurs système peuvent supposer que leur organisation n'est pas suffisamment importante pour être une cible. Cependant, même si votre réseau n'est pas un gros lot, vos fournisseurs ou clients peuvent s'avérer plus tentants, et accéder à votre système, via une attaque de phishing, par exemple, peut être une première étape pour s'infiltrer les leurs. Alors c'est vaut la peine d'évaluer comment vous protégez votre système.
Que vous pensiez que Linux soit ou non le système d'exploitation le plus sécurisé, tous les systèmes d'exploitation présentent des risques et des vulnérabilités qui peuvent être exploités. Voici comment les gérer sous Linux.
Malware Linux découvert en 2020
Voici notre rafle des menaces qui ont été identifiées au cours de l’année dernière.
Cheval de Troie RansomEXX
Les chercheurs de Kaspersky ont révélé en novembre que ce cheval de Troie avait été porté sous Linux en tant qu'exécutable. La victime se retrouve avec des fichiers cryptés avec un chiffrement AES 256 bits et des instructions pour contacter les auteurs de logiciels malveillants pour récupérer leurs données.
La version Windows a attaqué des cibles importantes en 2020, notamment Konica Minolta, le ministère des Transports du Texas et le système judiciaire brésilien.
RansomEXX est spécifiquement adapté à chaque victime, le nom de l'organisation étant inclus à la fois dans l'extension de fichier crypté et dans l'adresse e-mail sur la note de rançon.
Gitpaste-12
Gitpaste-12 est un nouveau ver qui infecte les serveurs x86 et les appareils IoT exécutant Linux. Il tire son nom de son utilisation de GitHub et Pastebin pour télécharger du code, et pour ses 12 méthodes d'attaque.
Le ver peut désactiver AppArmor, SELinux, les pare-feu et autres défenses, ainsi qu'installer un mineur de crypto-monnaie.
IPStorm
Connue sous Windows depuis mai 2019, une nouvelle version de ce botnet capable d'attaquer Linux a été découverte en septembre. Il désarme le tueur de mémoire insuffisante de Linux pour continuer à fonctionner et tue les processus de sécurité qui pourraient l’empêcher de fonctionner.
L'édition Linux est livrée avec des fonctionnalités supplémentaires telles que l'utilisation de SSH pour trouver des cibles, exploiter les services de jeux Steam et explorer des sites Web pornographiques pour usurper des clics sur des publicités.
Il a également le goût d'infecter les appareils Android connectés via Android Debug Bridge (ADB).
Drovorub
Le FBI et la NSA ont mis en évidence ce rootkit dans un avertissement en août. Il peut échapper aux administrateurs et aux logiciels antivirus, exécuter des commandes root et permettre aux pirates de télécharger et de télécharger des fichiers. Selon les deux agences, Drovorub est l'œuvre de Fancy Bear, un groupe de hackers qui travaillent pour le gouvernement russe.
L'infection est difficile à détecter, mais la mise à niveau vers au moins le noyau 3.7 et le blocage des modules du noyau non fiables devraient aider à l'éviter.
Lucifer
L'exploration crypto malveillante Lucifer et le bot de déni de service distribué sont apparus pour la première fois sur Windows en juin et sur Linux en août. L’incarnation Linux de Lucifer permet les attaques DDoS basées sur HTTP ainsi que sur TCP, UCP et ICMP.
Penquin_x64
Cette nouvelle souche de la famille de malwares Turla Penquin a été révélée par des chercheurs en mai. C’est une porte dérobée qui permet aux attaquants d’intercepter le trafic réseau et d’exécuter des commandes sans acquérir la racine.
Kaspersky a découvert l'exploit fonctionnant sur des dizaines de serveurs aux États-Unis et en Europe en juillet.
Doki
Doki est un outil de porte dérobée qui cible principalement les serveurs Docker mal configurés pour installer des crypto-mineurs.
Alors que les logiciels malveillants contactent généralement des adresses IP ou des URL prédéterminées pour recevoir des instructions, les créateurs de Doki ont mis en place un système dynamique qui utilise l'API Dogecoin crypto blockchain. Cela rend difficile la suppression de l'infrastructure de commande car les opérateurs de logiciels malveillants peuvent changer le serveur de contrôle avec une seule transaction Dogecoin.
Pour éviter Doki, vous devez vous assurer que votre interface de gestion Docker est correctement configurée.
TrickBot
TrickBot est un cheval de Troie bancaire, utilisé pour les attaques de ransomware et le vol d'identité, qui est également passé de Windows à Linux. Anchor_DNS, l'un des outils utilisés par le groupe derrière TrickBot, est apparu dans une variante Linux en juillet.
Anchor_Linux agit comme une porte dérobée et se propage généralement via des fichiers zip. Le malware met en place un cron tâche et contacte un serveur de contrôle via des requêtes DNS.
En rapport: Comment repérer un e-mail de phishing
Magnat
Le cheval de Troie Tycoon se propage généralement comme un environnement d'exécution Java compromis dans une archive zip. Les chercheurs l'ont découvert en juin fonctionnant à la fois sur les systèmes Windows et Linux des petites et moyennes entreprises ainsi que des établissements d'enseignement. Il crypte les fichiers et exige le paiement d'une rançon.
Cloud Snooper
Ce rootkit détourne Netfilter pour masquer les commandes et le vol de données dans le trafic Web normal afin de contourner les pare-feu.
Identifié pour la première fois sur le cloud Amazon Web Services en février, le système peut être utilisé pour contrôler les logiciels malveillants sur n'importe quel serveur derrière n'importe quel pare-feu.
PowerGhost
Toujours en février, des chercheurs de Trend Micro ont découvert que PowerGhost avait fait le saut de Windows à Linux. Il s'agit d'un mineur de crypto-monnaie sans fichier qui peut ralentir votre système et dégrader le matériel en augmentant l'usure.
La version Linux peut désinstaller ou tuer les produits anti-malware et reste active à l'aide d'une tâche cron. Il peut installer d'autres logiciels malveillants, obtenir un accès root et se propager sur les réseaux en utilisant SSH.
FritzFrog
Depuis que ce botnet peer-to-peer (P2P) a été identifié pour la première fois en janvier 2020, 20 autres versions ont été trouvées. Les victimes comprennent les gouvernements, les universités, les centres médicaux et les banques.
Fritzfrog est un malware sans fichier, un type de menace qui vit dans la RAM plutôt que sur votre disque dur et exploite les vulnérabilités des logiciels existants pour faire son travail. Au lieu de serveurs, il utilise le P2P pour envoyer des communications SSH cryptées afin de coordonner les attaques sur différentes machines, de se mettre à jour et de s'assurer que le travail est réparti uniformément sur le réseau.
Bien qu'il soit sans fichier, Fritzfrog crée une porte dérobée en utilisant une clé SSH publique pour autoriser l'accès à l'avenir. Les informations de connexion des machines compromises sont ensuite enregistrées sur le réseau.
Les mots de passe forts et l'authentification par clé publique offrent une protection contre cette attaque. Changer votre port SSH ou désactiver l'accès SSH si vous ne l'utilisez pas est également une bonne idée.
FinSpy
FinFisher vend FinSpy, associé à l'espionnage des journalistes et des militants, en tant que solution de surveillance prête à l'emploi pour les gouvernements. Déjà vu sur Windows et Android, Amnesty International a découvert une version Linux du malware en novembre 2019.
FinSpy permet la capture du trafic, l'accès aux données privées et l'enregistrement vidéo et audio à partir d'appareils infectés.
Il est devenu public en 2011 lorsque les manifestants ont trouvé un contrat pour l'achat de FinSpy dans les bureaux du brutal service de sécurité égyptien après le renversement du président Moubarak.
Est-il temps pour les utilisateurs Linux de commencer à prendre la sécurité au sérieux?
Bien que les utilisateurs de Linux ne soient pas aussi vulnérables à autant de menaces de sécurité que les utilisateurs de Windows, il ne fait aucun doute la valeur et le volume des données détenues par les systèmes Linux rendent la plate-forme plus attrayante pour les cybercriminels.
Si le FBI et la NSA sont inquiets, alors les commerçants indépendants ou les petites entreprises exécutant Linux devraient commencer à payer plus. attention à la sécurité maintenant s'ils veulent éviter de devenir des dommages collatéraux lors d'attaques futures sur des organisations.
Voici nos des astuces pour vous protéger de la liste croissante des malwares Linux:
- N'exécutez pas de binaires ou de scripts à partir de sources inconnues.
- Installer un logiciel de sécurité tels que les programmes antivirus et les détecteurs de rootkit.
- Soyez prudent lorsque vous installez des programmes à l'aide de commandes telles que curl. N'exécutez pas la commande tant que vous ne comprenez pas parfaitement ce qu'elle va faire, commencez votre recherche en ligne de commande ici.
- Apprenez à configurer correctement votre pare-feu. Il doit consigner toutes les activités du réseau, bloquer les ports inutilisés et généralement maintenir votre exposition au réseau au minimum nécessaire.
- Mettez à jour votre système régulièrement; définir les mises à jour de sécurité à installer automatiquement.
- Assurez-vous que vos mises à jour sont envoyées via des connexions cryptées.
- Activez un système d'authentification par clé pour SSH et un mot de passe pour protéger les clés.
- Utilisez l'authentification à deux facteurs (2FA) et conservez les clés sur les appareils externes tels qu'un Yubikey.
- Vérifiez les journaux pour détecter les attaques.
Dès le départ, Linux est assez sécurisé, surtout par rapport à d'autres systèmes d'exploitation tels que macOS ou Windows. Même ainsi, il est bon de s'appuyer sur cela, en commençant par ces outils.
- Linux
- Linux
- Malware
Joe McCrossan est un écrivain indépendant, un dépanneur technique bénévole et un réparateur de vélos amateur. Il aime Linux, l'open source et toutes sortes d'innovations magiques.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!
Un pas de plus…!
Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.
