Généralement, lorsque l'on parle de sécurité sur nos ordinateurs, on retrouve une multitude de codes malveillants et de campagnes qui attaquent Windows. Mais maintenant nous allons nous concentrer sur les systèmes d'exploitation open source basés sur Linux.
Nous vous racontons tout cela parce qu'une série de experts en sécurité Ils viennent de découvrir un malware inédit qui affecte directement les ordinateurs basés sur Linux. De plus, cette campagne est composée d'une large gamme de modules qui se distinguent par les capacités avancées qu'ils offrent aux attaquants.
En fait, nous faisons ici référence à un cadre connu sous le nom de LienVide qui comprend plus de 30 modules indépendants. L'une des principales caractéristiques des codes malveillants que nous avons mentionnés est que ces modules vous permettent de personnaliser vos capacités d'attaque en fonction des besoins des acteurs malveillants eux-mêmes sur chaque ordinateur infecté. Ces modules peuvent fournir une furtivité supplémentaire en dehors d'une gamme d'outils de reconnaissance spécifiques.
Le malware Linux se concentre sur le cloud
Ils se concentrent également sur l’escalade des autorisations et les mouvements latéraux au sein d’un réseau compromis. Des composants peuvent être facilement ajoutés ou supprimés à mesure que les objectifs changent au cours d'une seule campagne.
Mais ce n'est pas tout, puisque VoidLink peut aussi attaquer des appareils via des services cloud le plus populaire. Tout cela en détectant si l'ordinateur infecté est hébergé sur AWS, GCP, Azure, Alibaba ou Tencent. Certains signes indiquent que les développeurs prévoient d'ajouter des détections pour d'autres services similaires tels que Huawei, DigitalOcean et Vultr dans les versions futures. Pour détecter quel service cloud la machine héberge, VoidLink examine les métadonnées à l'aide de l'API du fournisseur correspondant.
Il convient de garder à l’esprit qu’il existe des situations similaires ciblant les serveurs Windows qui connaissent un énorme succès depuis des années. Il est vrai qu'ils sont moins courants sous Linux, mais dans ce cas nous trouvons un ensemble de fonctionnalités inhabituellement large et beaucoup plus avancé que les malwares typiques sur ces systèmes.
Le malware lui-même a été découvert par les chercheurs de l'entreprise Point de contrôleet on nous dit que sa création pourrait indiquer que l'objectif de l'attaquant s'étend de plus en plus pour inclure Systèmes Linux. Cela inclut les infrastructures cloud et les environnements de déploiement d'applications.
Il s'agit de VoidLink, le malware le plus dangereux pour Linux
Pour vous donner une idée, le code malveillant VoidLink susmentionné est en fait un écosystème complet conçu pour fournir un accès furtif à long terme aux systèmes Linux compromis. Plus précisément, ceux qui s'exécutent sur des plates-formes de cloud public et des environnements de conteneurs. Sa conception reflète un niveau de planification et d'investissement qui est généralement associé aux acteurs de menaces professionnelles.
En même temps, tout porte à croire qu’il est encore en développement, il deviendra donc probablement plus dangereux dans les mois à venir. Un autre de ses dangers réside dans le fait qu'en plus du détection des nuagesses modules collectent de grandes quantités d'informations sur l'ordinateur infecté. À son tour, VoidLink propose une API de développement configurée lors de l'initialisation du malware sur les ordinateurs infectés.
Il dispose d'un système d'accessoires qui permet aux logiciels malveillants d'évoluer et fournit aux attaquants des profils détaillés du système et de l'environnement infectés. Pour finir, nous vous dirons qu'il effectue la collecte des informations d'identification des clés SSH, mots de passe et cookies stockés par les navigateurs, les jetons d'authentification, les clés API et bien plus encore.
| Nom du module | Fonction principale | Impact sur le système |
|---|---|---|
| Détection Cloud | Identifie le fournisseur de cloud (AWS, Azure, GCP, etc.) via des métadonnées. | Vous permet d'adapter les tactiques d'attaque à l'environnement spécifique. |
| SSHCredHarvester | Extrait les clés SSH privées et les informations d'identification stockées. | Facilite le mouvement latéral vers d’autres systèmes du réseau. |
| Gomme de journal | Élimine les traces d'activité dans les journaux système (par exemple /var/log/wtmp, .bash_history). | Cela rend l’analyse médico-légale et la détection des intrusions difficiles. |
Pour protéger les systèmes Linux contre VoidLink, en fonction du comportement du logiciel malveillant lui-même, les administrateurs système peuvent prendre les mesures préventives suivantes.
- Audit des API et services exposés.
- Renforcer les références.
- Surveillance des environnements cloud.
- Restriction des autorisations pour les utilisateurs et les conteneurs.