Un récent rapport du FBI et de la NSA décrit Drovorub, un nouveau malware russe. Le programme s’attaque à Linux, et peut prendre le contrôle de l’appareil ainsi que voler les fichiers. Il témoigne d’un intérêt croissant des groupes de hackers russes pour ce système d’exploitation.

Cela vous intéressera aussi

Linux a la réputation d'être le système d'exploitationsystème d'exploitation le plus sécurisé, et certains n'hésitent pas à vanter l'absence de virusvirus sur ces ordinateursordinateurs. Si cette affirmation était crédible il y a 15 ans, ce n'est plus le cas aujourd'hui. Le FBI et la NSA ont publié un rapport détaillant un nouveau malware baptisé Drovorub qui vise les systèmes LinuxLinux. Les deux agences américaines accusent APT28, un groupe qui appartiendrait au service de renseignement militaire russe (GRU).

Drovorub est un véritable couteau suisse intégrant un module pour l'infection, un rootkitrootkit, un utilitaireutilitaire de transfert de fichiers, un autre outil pour la redirection de ports et un serveur de commande et contrôle. Le malwaremalware est ainsi conçu pour être difficile à détecter, et peut effectuer de nombreuses actions comme voler les fichiers de la victime ou prendre le contrôle de l'appareil.

Linux de plus en plus dans le viseur des hackers

Pour se protéger, le rapport recommande de passer au noyau 3.7 de Linux, qui impose la signature des modules. Il conseille également l'activation du démarrage sécurisé UEFI qui permet de bloquer les bootkits, tout du moins tant que les hackers n'utilisent pas la faille BootHole... Le rapport propose aussi un nombre de méthodes pour détecter la présence de Drovorub avec divers outils, comme Snort, Yara ou Volatility.

Les attaques par des groupes russes contre les systèmes basés sur le noyau Linux se multiplient. En 2018, ESET avait découvert 12 nouvelles familles de logicielslogiciels malveillants visant ce système d'exploitation. La même année, un malware baptisé VPNFilter, également attribué à APT28, avait infecté des routeursrouteurs. En 2019, Microsoft avait découvert un autre malware, visant les objets connectés et attribué au même groupe russe, ici sous le nom StrontiumStrontium. La popularité croissante de Linux, pour les serveurs et objets connectés, et notamment dans les infrastructures les plus sensibles, risque d'en faire une cible privilégiée pour les nouvelles attaques.