Les adeptes des systmes d’exploitation bass sur Linux invoquent souvent une plus grande scurit pour justifier leur amour de la distro qu’ils ont choisie.
Si les distros Linux ont un meilleur bilan de scurit que les systmes Windows 11 et macOS parce qu’elles sont intrinsquement plus sres ou parce qu’elles ne sont tout simplement pas autant cibles, le dbat est ouvert, mais Linux n’en reste pas moins faillible.
Le malware Symbiote, dcouvert par des chercheurs en scurit de BlackBerry et d’Intezer Labs, en est la preuve. Symbiote est inquitant pour un certain nombre de raisons, notamment parce qu’il est dcrit comme « presque impossible dtecter ». Il s’agit galement d’un malware extrmement dangereux qui « parasite » les systmes, infectant tous les processus en cours d’excution et offrant aux acteurs de la menace des fonctionnalits de rootkit, un accs distance, etc.
Symbiote est appel ainsi en raison de la nature des attaques, le terme « symbiote » tant un terme biologique dsignant un organisme qui vit en symbiose avec un autre organisme, parfois de manire parasitaire. Les chercheurs en scurit affirment que Symbiote existe depuis au moins novembre 2021 et semble avoir t dvelopp pour cibler le secteur financier.
Dans leur rapport, les chercheurs dcrivent le malware comme suit :
« Ce qui diffrencie Symbiote des autres malwares Linux que nous rencontrons habituellement, c’est qu’il a besoin d’infecter d’autres processus en cours d’excution pour infliger des dommages aux machines infectes. Au lieu d’tre un fichier excutable autonome qui est excut pour infecter une machine, il s’agit d’une bibliothque d’objets partags (SO) qui est charge dans tous les processus en cours d’excution l’aide de LD_PRELOAD (T1574.006) et qui infecte la machine de manire parasite. Une fois qu’il a infect tous les processus en cours d’excution, il fournit l’acteur de la menace une fonctionnalit de rootkit, la possibilit de rcolter des informations d’identification et une capacit d’accs distance.«
Ils expliquent ensuite pourquoi le symbiote est si difficile dtecter :
Une fois que le logiciel malveillant a infect une machine, il se cache, ainsi que tout autre logiciel malveillant utilis par l’acteur de la menace, ce qui rend les infections trs difficiles dtecter. Il est possible qu’une analyse mdico-lgale en direct d’une machine infecte ne rvle rien, car tous les fichiers, processus et artefacts rseau sont cachs par le malware. En plus de la capacit de rootkit, le malware fournit une porte drobe permettant l’acteur de la menace de se connecter en tant que n’importe quel utilisateur sur la machine avec un mot de passe cod en dur, et d’excuter des commandes avec les privilges les plus levs.
tant donn qu’il est extrmement vasif, une infection par Symbiote est susceptible de » passer sous le radar « . Dans le cadre de nos recherches, nous n’avons pas trouv suffisamment de preuves pour dterminer si Symbiote est utilis dans des attaques trs cibles ou de grande envergure.
Un aspect technique intressant de Symbiote est sa fonctionnalit de crochetage du Berkeley Packet Filter (BPF). Symbiote n’est pas le premier malware Linux utiliser BPF. Par exemple, une porte drobe avance attribue au groupe Equation a utilis le BPF pour des communications secrtes. Cependant, Symbiote utilise le BPF pour dissimuler le trafic rseau malveillant sur une machine infecte.
Lorsqu’un administrateur lance un outil de capture de paquets sur la machine infecte, le bytecode BPF est inject dans le noyau qui dfinit les paquets capturer. Dans ce processus, Symbiote ajoute son bytecode en premier afin de pouvoir filtrer le trafic rseau qu’il ne veut pas que le logiciel de capture de paquets voie.
Symbiote est galement capable de dissimuler son activit rseau l’aide de diverses techniques. Cette couverture est parfaite pour permettre au logiciel malveillant de rcolter des informations d’identification et de fournir un accs distance l’acteur de la menace.
Sources : Blackberry, Intezer
Et vous ?
Qu’en pensez-vous ?
Voir aussi :