Les malwares tels que XorDDoS, Mirai et Mozi, qui s’attaquent entre autres aux appareils de l’Internet des objets équipés du système d’exploitation Linux, sont en augmentation. La société de sécurité informatique Crowdstrike a constaté une augmentation de 35 % de ces logiciels malveillants Linux l’année dernière par rapport à 2020.
Ces trois principales familles de parasites seraient à elles seules responsables de 22 % des infections de Linux. L’objectif principal de ces familles de logiciels malveillants est de transformer le système attaqué en drone dans le botnet et de le faire participer à des attaques par déni de service distribué (DDoS).
Sommaire
Linux non corrigé comme cible
Linux est considéré comme un système d’exploitation sûr et est largement utilisé dans les serveurs Cloud et les appareils IoT. Il s’avère être un « fruit à faible valeur ajoutée » pour les cybercriminels, là où les données d’accès sont programmées en dur, les ports ouverts ou les failles de sécurité non corrigées – principalement dans le domaine de l’IoT.
La compromission en masse d’appareils vulnérables menace l’intégrité des services Internet critiques. Dans son message, Crowdstrike fait référence à l’estimation de Statista selon laquelle environ 30 milliards d’appareils IoT se baladeront sur Internet en 2025 : Une énorme base potentielle pour des réseaux de zombies tentaculaires.
Familles de logiciels malveillants
Parmi les échantillons de logiciels malveillants les plus fréquemment détectés, on trouve XorDDoS, pour lequel Crowdstrike a observé une augmentation de 123 %. Le nom provient du cryptage XOR dans le malware et de la communication avec le serveur de commande et de contrôle. Le malware existe sous forme de compilation pour les architectures ARM, x86 et x64 et tente de s’introduire dans les appareils via SSH par une attaque par force brute, c’est-à-dire en essayant de nombreux mots de passe.
La famille de logiciels malveillants Mozi a été détectée dix fois plus souvent en 2021 que l’année précédente. Elle s’appuie sur une structure de communication peer-to-peer pour dissimuler le trafic de commande et de contrôle. Les attaques sur d’autres appareils se font ici par force brute sur SSH et Telnet. Le malware en troisième position est Mirai. Ce botnet est connu depuis longtemps. Mirai utilise des protocoles faibles comme Telnet et des mots de passe faibles pour s’introduire dans des appareils vulnérables.
Logiciels malveillants sur plusieurs plates-formes
D’autres entreprises de sécurité voient également des logiciels malveillants qui ne s’attaquent pas uniquement aux systèmes Windows. Intezer a par exemple découvert et analysé un malware pour Windows, Mac OS et Linux appelé SysJoker. Il s’agit d’une porte dérobée qui attend les commandes d’un serveur de commande et de contrôle pour les exécuter.
Pendant ce temps, la société chinoise Rising, spécialisée dans la lutte contre les logiciels malveillants, signale l’existence d’une variante Linux du ransomware SFile, également connu sous le nom d’Escal. L’éditeur d’antivirus Eset a même découvert une version FreeBSD-x64 de SFile.
Sécuriser
Les appareils de l’Internet des objets qui ne peuvent pas être mis à jour, pour lesquels les fabricants ne distribuent pas de mises à jour ou qui sont simplement oubliés dans la gestion des correctifs, représentent manifestement un danger à ne pas sous-estimer. Certes, à partir d’août 2024, la situation s’améliorera en ce qui concerne la possibilité de mise à jour en raison de la nouvelle directive de l’UE sur les équipements radio. Mais les anciens appareils restent en service. Les responsables de la sécurité informatique devraient les protéger par exemple par un pare-feu.
En raison des attaques par force brute sur les appareils, il faudrait au moins changer les mots de passe par défaut pour des mots de passe plus complexes. Il est préférable d’utiliser une authentification à deux facteurs ou des mots de passe à court terme, par exemple via Google Authenticator, si les appareils IoT peuvent être configurés de cette manière. En outre, les administrateurs devraient examiner de temps en temps le trafic réseau pour détecter les connexions inattendues, afin de repérer les appareils infectés.