Il n’y a pas que Windows ou Apple dans la vie. Pour les cybercriminels, c’est la même chose. Les chercheurs d’Aqua Security, une entreprise basée en Israël, viennent de repérer un programme malveillant visant des serveurs Linux qui a vraisemblablement pu cibler depuis trois ans des millions de serveurs pour en infecter au final plusieurs milliers.
Tout a commencé pour Aqua Security avec l’attaque d’un de leurs pots de miel.
En la décortiquant, les chercheurs réalisent que s’il n’existe aucune documentation sur ce nouveau logiciel malveillant, de nombreux informaticiens se plaignent d’indicateurs de compromission similaires.
Crypto mineur
Dans ces messages, ces derniers se plaignent notamment de ne pas arriver à bouter de leurs systèmes le malware, qui “fait tourner mon CPU et ma RAM à plein régime”. Ce programme malveillant a été baptisé Perfctl, le nom du processus de crypto minage. Ces logiciels exploitent secrètement la puissance de calcul pour miner des crypto-monnaies, engloutissant au passage les ressources du système.
Le nom du processus fait référence à Perf, l’outil d’analyse des performances sous cet environnement, et ctl une abréviation courante. Une dénomination anodine visiblement choisie par discrétion.
Le crypto minage – de Monero, pour le cas observé par Aqua Security – n’est cependant pas la seule activité de l’attaquant. Les chercheurs de l’entreprise l’ont également observé en train de déployer des utilitaires pour mieux comprendre la nature de sa cible. Un autre chercheur indépendant affirme que le programme peut également servir à voler des données.
Efforts importants
Après l’exploitation d’une première vulnérabilité, le programme s’installe une fois la charge utile téléchargée depuis un serveur contrôlé par l’attaquant. Le malware, copié dans un répertoire temporaire, met fin au processus d’origine pour masquer ses traces.
Puis il utilise une vulnérabilité datant de 2021 pour prendre les droits sur le serveur et ensuite ouvrir une porte dérobée. Le malware sait enfin rester inactif en cas de connexion au serveur pour rester plus furtif.
Les chercheurs d’Aqua Security soulignent à ce sujet les “efforts importants” de programmation pour éviter la détection du programme malveillant. Et ils saluent la “manière astucieuse” permettant de dissimuler le malware au début de l’attaque. Si les ressources de votre serveur Linux sont accaparées par un étrange processus, vous avez peut-être désormais la clé de l’énigme.