Le nouveau malware Drovorub est le dernier d’une suite d’attaques contre Linux par les groupes russes. © VIN JD, Pixabay
Tech

Le FBI et la NSA découvrent que les Russes visent désormais Linux

ActualitéClassé sous :cybersécurité , malware , GNU Linux

Un récent rapport du FBI et de la NSA décrit Drovorub, un nouveau malware russe. Le programme s'attaque à Linux, et peut prendre le contrôle de l'appareil ainsi que voler les fichiers. Il témoigne d'un intérêt croissant des groupes de hackers russes pour ce système d'exploitation.

Linux a la réputation d'être le système d'exploitation le plus sécurisé, et certains n'hésitent pas à vanter l'absence de virus sur ces ordinateurs. Si cette affirmation était crédible il y a 15 ans, ce n'est plus le cas aujourd'hui. Le FBI et la NSA ont publié un rapport détaillant un nouveau malware baptisé Drovorub qui vise les systèmes Linux. Les deux agences américaines accusent APT28, un groupe qui appartiendrait au service de renseignement militaire russe (GRU).

Drovorub est un véritable couteau suisse intégrant un module pour l'infection, un rootkit, un utilitaire de transfert de fichiers, un autre outil pour la redirection de ports et un serveur de commande et contrôle. Le malware est ainsi conçu pour être difficile à détecter, et peut effectuer de nombreuses actions comme voler les fichiers de la victime ou prendre le contrôle de l'appareil.

Linux de plus en plus dans le viseur des hackers

Pour se protéger, le rapport recommande de passer au noyau 3.7 de Linux, qui impose la signature des modules. Il conseille également l'activation du démarrage sécurisé UEFI qui permet de bloquer les bootkits, tout du moins tant que les hackers n'utilisent pas la faille BootHole... Le rapport propose aussi un nombre de méthodes pour détecter la présence de Drovorub avec divers outils, comme Snort, Yara ou Volatility.

Les attaques par des groupes russes contre les systèmes basés sur le noyau Linux se multiplient. En 2018, ESET avait découvert 12 nouvelles familles de logiciels malveillants visant ce système d'exploitation. La même année, un malware baptisé VPNFilter, également attribué à APT28, avait infecté des routeurs. En 2019, Microsoft avait découvert un autre malware, visant les objets connectés et attribué au même groupe russe, ici sous le nom Strontium. La popularité croissante de Linux, pour les serveurs et objets connectés, et notamment dans les infrastructures les plus sensibles, risque d'en faire une cible privilégiée pour les nouvelles attaques.

Cela vous intéressera aussi
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !