AccueilActualités informatiqueDécouverte d'une nouvelle famille de logiciels malveillants pour Linux

Découverte d’une nouvelle famille de logiciels malveillants pour Linux

Des chercheurs de l’entreprise de sécurité et d’antivirus Eset affirment avoir découvert une nouvelle famille de logiciels malveillants pour Linux. Il permet l’accès à distance, collecte les données d’accès et installe des proxies sur les systèmes infectés pour de nouvelles attaques.

L’entreprise présente ses conclusions dans un livre blanc technique. Selon ces informations, le logiciel malveillant est en développement permanent. Les emplacements des serveurs C&C trouvés indiquent une zone d’opération privilégiée en Asie du Sud-Est. La structure de C&C est également organisée de manière très décentralisée, presque toutes les conclusions utilisent des serveurs différents, dont la plupart sont actuellement inactifs.

Les chercheurs en sécurité ont identifié un fichier virtuel mis en place par un rootkit comme étant l’élément central. Les outils Linux standard trojanisés y écrivent, entre autres, des données d’accès. Par exemple, une fonction auth_password modifiée a été découverte dans sshd, qui enregistre les données d’accès. Trois portes dérobées différentes permettent aux attaquants de conserver l’accès aux systèmes infectés et le rootkit dissimule leur présence et leurs activités.

Les signatures de certaines parties du malware sont apparues sur VirusTotal dès le mois de mai 2020. Certains des échantillons de logiciels malveillants analysés ont été créés spécifiquement pour CentOS et Debian. Le rootkit appartenant à FontOnLake est basé sur le kit de construction de rootkit en mode noyau Suterusu, disponible publiquement, et a déjà été décrit par Avast, Lacework (là sous le nom de HCRootkit) et d’autres sociétés de sécurité avant Eset.

Eset suppose que FontOnLake pourrait être conservé pour de futures attaques en raison de son architecture élaborée et du fait qu’il est apparemment constamment développé. Cependant, son objectif concret n’est pas connu, pas plus que les voies d’infection.

Plus d'articles