Kaspersky avertit sur son blog qu’un malware parfaitement fonctionnel sur Linux a été trouvé. Il s’agit d’une variante d’une porte dérobée déjà utilisée depuis des années dans des attaques complexes. Pour l’éditeur, il s’agit d’une « pièce jusqu'ici inconnue d'un plus grand puzzle ».
Un malware visant spécifiquement Linux
En août dernier, Kapersky avait indiqué sur son blog avoir des informations au sujet d’une vaste opération baptisée Epic Turla. Il s’agit d’une Advanced Persistent Threat (APT), c’est-à-dire une attaque complexe s’appuyant sur de nombreux facteurs et requérant des synergies entre des failles, des malwares et d’autres techniques. Elles se caractérisent par leur durée, qui peut varier de plusieurs mois à plusieurs années, et sont particulièrement ciblées.
Dans un autre billet récent, Kaspersky avertit cette fois avoir trouvé une variante Linux du malware Turla, dont la mission est d’ouvrir une porte dérobée dans le système. L’éditeur indique que ce n’est pas la première fois que des malwares pour Linux apparaissent, mais dans le cas de Turla, il s’agit bien d’une trouvaille inédite. Il a de plus été retrouvé sur une machine utilisée en production et Kaspersky suspecte, sans pouvoir le prouver, qu’il y résidait depuis des années.
Le fait de créer une variante pour Linux signifie que ses concepteurs ne souhaitaient pas se limiter au seul monde Windows. Le simple fait d’installer Linux n’immunise pas contre les attaques, et la mission de Turla est de créer un socket qui sera alors géré comme un fichier avec des droits de lecture et écriture. Il communique avec un serveur de contrôle inscrit en dur et dont le nom de domaine est « news-bbc.podzone[.]org ».
Kaspersky s'inquiète du nombre de variantes de Turla
Le malware lui-même est un exécutable 32 bits LSB, conçu pour l’architecture i386 et pour fonctionner sous Linux avec un noyau 2.2.5 ou d’une version ultérieure. Il est statiquement lié à trois bibliothèques (glibc 2.3.2, openssl 0.9.6 et libpcap), ce qui le rend relativement « lourd » avec ses 640 ko environ.
Kaspersky le décrit comme un assemblage de code open source issu de plusieurs projets et composants, auxquels les concepteurs ont ajouté des fonctionnalités spécifiques. Certaines parties du code semblent inactives et l’éditeur estime qu’il s’agit de reliquats d’anciennes versions du malware. Une particularité soulignée par Kaspersky est la manière dont Turla communique avec le serveur de contrôle, à savoir par paquets TCP/UDP.
Pour la société de sécurité, cette découverte n’est pas tant significative parce que le malware fonctionne sous Linux que parce qu’elle pose la question de savoir combien il peut exister de variantes de Turla. Elle renforce l’idée que l’évolution actuelle des cybermenaces se fait justement vers les Advanced Persistent Threats et les cibles très en vue telles que les grandes entreprises et les administrations. Les buts recherchés peuvent être très divers, mais il s’agit le plus souvent de sabotage et de vol d’informations, comme dans le cadre de l’espionnage industriel.
Notez que puisqu'il s'agit d'un malware impliqué dans une APT, les chances de le retrouver sur une machine classique sont particulièrement faibles, mais Kaspersky signale évidemment que ses solutions de sécurité savent le détecter.
Commentaires (121)
#1
Pas étonnant que cela se produise avec les sources de Linux en accès libre.
© JVachez TM
#2
#3
Malware … linux … vendredi … Let’go !!!
" />
#4
ben voilà faut installer un antivirus sous linux donc ralentir les performances….
#5
S’il est statiquement lié avec la glib il doit théoriquement être soumis à la GPL. C’est donc un malware opensource
" />.
#6
Il faut toujours installer un AV même sous Linux… Histoire d’éviter d’être vecteur d’un virus…
Le fait que tu ne sois pas directement infecté parce que t’es sous Linux ne protège pas ceux avec qui tu communiques…
#7
Euh…C’est de l’informatique, le porteur sain n’existe pas….
#8
Il est statiquement lié à trois bibliothèques (glibc 2.3.2, openssl 0.9.6 et libpcap), ce qui le rend relativement « lourd » avec ses 640 ko environ.
Notez que puisqu’il s’agit d’un malware impliqué dans une APT, les chances de le retrouver sur une machine classique sont particulièrement faibles, mais Kaspersky signale évidemment que ses solutions de sécurité savent le détecter.
je vais pouvoir continuer à dormir tranquille
#9
C’est leurs problèmes ça.
Moi je me contente de l’antivirus qui scan les mails pour éviter d’envoyer des virus et c’est tout.
#10
#11
Belle mentalité.
#12
Clamav + spamassassin par exemple.
#13
Qu’un malware existe sur linux ou tout autre système capable d’exécuter du code tiers n’a rien de surprenant, la question est plutôt comment est il parvenu à s’installer sur l’os ? Fail dans le navigateur, exploit pour ensuite obtenir les droits root etc ?
#14
Une belle PJ non détectée parce que pas d’AV sous Linux, la chaine de
confiance d’un mail provenant d’un expéditeur connu… ça suffit
parfois.
#15
Bah en informatique si, tout du moins tu peux “véhiculer” des virus sans en être “porteur” (le virus n’a aucune action sur l’OS), et transmettre le virus. Exemple, en passant par une clé USB, ou autre.
#16
#17
Tout à fait, je répondais simplement à fr1g0.
#18
Est-ce que Clamav fait la détection des virus en temps réel ou il faut à chaque fois faire un scan ?
#19
#20
Il y en a à la pelle, t’as même des gros éditeurs du genre BitDefender qui te file une clé gratuite de 365 jours pour leur solution compatible Linux.
Sinon le plus connu c’est ClamAV, qui est opensource,. D’ailleurs il est aussi bien pilotable en ligne de commandes qu’avec une interface graphique (BitDefender aussi d’ailleurs, du moins il me semble).
edit : scan only pour ClamAV.
re-edit : peut-être moyen de ruser pour avoir le temps réel avec ClamAV à l’aide de scripts que je n’ai pas testé (voir sur le net).
#21
#22
Il me semble.
http://doc.ubuntu-fr.org/clamav
Balayage temps réel par exemple.
#23
#24
#25
Android n’est pas basé sur Linux à la base ?
Parce qu’il est fourré de malwares en tous genres ! Du
coup le mythe du Linux intouchable…
#26
Il n’y a pas d’OS intouchable, juste des parts de marché moindre, donc moins intéressant pour les vilains…
Le seul avantage d’un OS comme Linux, c’est la réactivité de la communauté pour patcher les failles/virus.
#27
Et OS X aussi d’ailleurs, les deux sont susceptibles
d’être infectés, et le nombre croissant de machines sous ces systèmes doit
motiver pas mal de vilains pirates à porter leurs créations windows sur ce
nouvel eldorado de nudistes…
#28
#29
#30
#31
#32
#33
#34
C’est quand même très triste de voir que :
* Beaucoup de gens confondent toujours malwares et virus.
* il y a toujours autant de gens pour sortir les enormités classique “C’est parce que linux est très peu utilisé qu’il y a pas de virus dessus” (hahaha)
Kaspersky vend un anti virus sous linux ? Si c’est pas le cas, vous allez voir que l’annonce sera faite bientôt.
Mais bon, quand on voit certaines réactions ici, de gens pourtant normalement bien renseignés, je n’ose même pas imaginer ce que ce genre d’article pourrait donner chez les “gens normaux”.
PS : Si je me goure, et si on a bien à faire à un virus, et pas à un malware, cet article n’aurait d’intérêt que si il fournissait à minima : Les modes de réplications et les failles utilisées pour le faire.
#35
#36
#37
#38
#39
#40
C’est presque une non info parce que l’éditeur ne donne aucune info sur le mode d’infection, en particulier en disant que le malware arrive à sniffer une interface réseau alors que ce n’est pas possible sans:
Bizarrement, le mode de propagation, à mon avis, c’est plus les boulets qui installent des rpm/deb trouvés sur des forums & co…
#41
Principalement oui, c’est l’usage qui en est fait dans la plupart des cas. Mais “que” des postes sous Windows, non. La preuve avec l’image de la news, avec Kaspersky qui trouve une backdoor visant Linux.
#42
#43
SI c’est pour une machine desktop, t’a aussi quelques marques “classiques” comme
NOD32 (http://www.eset.com/fr/home/products/antivirus-linux/ ),
AVG (http://free.avg.com/fr-fr/download-free-all-product ),
Comodo (https://www.comodo.com/home/internet-security/antivirus-for-linux.php ).
Avast et panda ont abandonné leur clients linux pour particuliers…
#44
#45
Il s’agit le plus souvent de sabotage et de vol d’informations, comme dans le cadre de l’espionnage industriel.
NSA powered…
#46
#47
Parce que tu fais des scans en plus des mails ?
#48
“Malware .. virus … peut-importe si l’antivirus supprime les deux …”
Justement non, il y a une sacré différence entre les deux.
Un virus, il s’installe tout seul. La malware, c’est toi qui l’a installé comme un grand.
Or, supprimer un malware ça ne sert strictement à rien, puisque c’est l’utilisateur
qu’il faudrait supprimer. (Et franchement des fois…) Bref, même si des anti-malware
existaient sous linux (ce qui n’est pas le cas), il ne pourrait rien faire contre la bétise
des utilisateurs. Aucun programme ne peut lutter contre.
Il n’y a qu’a voir le nombre de plugins firefox qui sont installés chez les “gens normaux”
pour comprendre. Voulez vous installer trucmuche ? -> Oui. et hop, encore une barre
d’outil/spyware/modificateur de la page de démarrage etc.
Encore une fois cet article ne sert à rien, juste essayer de faire peur à des utilisateurs
linux ayant peu de connaissance sur le fonctionnement interne de leur OS.
Accessoirement, je doute qu’il existe un seul antivirus sérieux sous linux
(cherchant et détectant des virus linux) pour la bonne et simple raison qu’il
n’existe toujours pas de virus sous linux.
Il existe des logiciels anti-malware, mais je ne vois pas leur intérêt car pour les
utiliser correctement il faut un très bon niveau sous linux. Or, évidement, quand
tu as un bon niveau sous linux, tu n’installe pas n’importe quoi venant de n’importe
ou et tu n’a donc de toute façon jamais de malware sur ta machine.
#49
Oui, de mon home et des périphériques USB principalement… Ce que je télécharge n’est potentiellement pas toujours exempt de saloperies… Et comme dit plus haut, un fichier infecté qui ne fera rien sur ton poste parce que t’es sous Linux pourra ensuite infecter un contact à qui tu auras passé le fichier en toute bonne foi.
#50
Bref, un tel malware c’est inquiétant, surtout qu’il s’attaque aussi bien à Windows qu’à Linux. Mais vu les circonstances, il ne faut pas sombrer dans le catastrophisme à la sauce «bouuuh tous les OS sont des passoires on n’est plus en sécurité nulle part !!!!!».
#51
#52
#53
Tu fais un peux trop confiance au système, Turla semble être présent depuis des années sur des PC Linux, il est donc propable que d’autre cochonnerie puisse être présente sur ce système depuis un moment.
Le système sans fail n’existe pas.
D’autre infos ici:http://www.developpez.com/actu/78880/Linux-infecte-par-une-variante-de-Turla-un-…
#54
#55
#56
Moi je fais confiance aux anti-virus présents sur les systèmes Windows qui sont surement bien plus performant que mon clamav (sauf pour les mails car envoyer des virus augmentes les chances de finir dans les listes anti-spam).
#57
Tu as f-prot qui existe pour Linux. Je l’ai eu à une époque, mais comme il ne me servait à rien je l’ai enlevé. J’ai gardé un clamav au cas où, mais je ne m’occupe jamais de le mettre à jour… Ptêt que c’est une crontab qui le fait… D’un autre côté je n’ai jamais croisé un virus Linux, et sous Windows ça fait longtemps aussi que je n’en ai pas vu au moins par mail.
#58
Après Android a aussi des sécurités que n’a pas forcement un linux desktop classique comme la sandbox qui implique que le malware te demande l’autorisation pour fouiller ton tel … Mais comme toutes les applis Google, Facebook et co ont tendance a t’habituer au fait qu’un application doit avoir accès à tout ton tel, beaucoup de gens ont tendance à ignorer ce genre de warning …
Mais comme dit plus haut, Android à certes beaucoup de malware installer manuellement a partir d’un store tiers généralement, autant les virus qui s’installent et se propagent tout seul reste rare quand même…
#59
#60
C’est quoi le rapport entre openssl et la sécurité du noyau Linux ?
Sinon comment tu fais pour savoir que le noyau NT est bien conçu. On a pas les sources.
Par contre il a un avantage par rapport à Linux. Pour corriger la faille on est pas obligé de la rendre publique ce qui évite de faciliter son exploitation sur des systèmes non mis à jours.
Edit : le noyau NT à aussi l’avantage de ne pas tout mettre dans le même espace d’adresse.
#61
Quand je pense à tous les baltringues qui, depuis plus de 15 ans, nous bassinent avec leur p.tain de linux soit disant sécurité parce que “libre et patati et patata”. Il y a des coups de battes de baseball sur des tibias qui se perdent………. Sorti de la faille ssl qui durait depuis 10 ans, puis de celle de tls, et maintenant ce machin…. Les tenants du libre sont vraiment de gros bisounours ou de gros imbéciles, ou les deux… y compris l’autre guignol de richard stallman !!!
#62
#63
2 choses à ne pas perdre de vue :
La plupart des utilisateurs vont plus pleurer pour une perte de leurs documents que pour un plantage de leur machine, une intrusion ou une zombification. Et comme tu le dis, ça peut arriver bien plus facilement.
#64
#65
#66
Dans ce cas là pourquoi cette phrase “ les utilisateurs de Linux (dont je fais partie au boulot et à la
" />.
maison) doivent faire profil bas sur le côté mieux conçu et sécurisé du
noyau.” ?
Oui je sais je troll en peu on est vendredi
D’ailleurs je me suis auto-répondu sur la partie sécurité. Par contre la partie conception je ne suis pas d’accord.
#67
si on chope ceux qui l’ont écrit, on pourra légalement leur réclamer les sources
" />
#68
#69
#70
Non il faudrait être infecté d’abord. La GPL impose de donnée les sources uniquement aux personnes à qui on a distribué le logiciel.
#71
#72
Y’a aussi des virus sur les NAS linux, donc oui c’est un myhe, mais en général sous nux les types utilisent un exploit, font ce qu’ils veulent et se cassent au lieu de te laisser un binaire vérolé, c’est d’autres méthodes mais c’est troué aussi.
#73
J’approuve, il mélange tout, aucune subtilité, un bon troll entretient la mauvaise foi tout au long d’un échange
#74
#75
Faut arrêter avec les trolls windows passoire / linux parfaitement sécurisé.
Un vieux magazine d’une source qu’on ne peut pas suspecter d’être anti-Linux
http://boutique.ed-diamond.com/gnulinux-magazine-hors-series/130-lmhs32.html
#76
Bravo, 3 derniers messages : anti-linux, anti-MS, anti-Google, on peut reconnaître une certaine impartialité dans le troll de bas étage…
#77
#78
Un bon troll ne va pas à l’encontre de la vérité, il la déforme beaucoup
#79
#80
http://www.symantec.com/business/support/index?page=content&id=DOC7697
" /> )
Le meilleur :) (enfin, smoi qui le dit
#81
#82
Sauf que non sur Linux. Tu as entendu parler du “bit d’exécution” !..
" />
Une PJ n’est pas exécutable, à moins que tu n’utilises un logiciel de lecture de mail qui ait commis cette erreur, auquel cas la faille est dans ton logiciel de lecture de mail.
Pour qu’un virus rentre de la sorte, il faut que tu rendes explicitement le fichier exécutable:
chmod +x LeFichier
(ou l’équivalent via le gestionnaire de fichiers: Nemo, Nautilus, Dolphin, etc…)
Et là tu pourras enfin exécuter le virus. Si tu en est là, tu as gagné le prix Darwin. C’est à dire que la sélection naturelle de l’espèce va faire son oeuvre, et oui tu seras infecté !
Sinon, ça fait plusieurs fois que je vois cet article circuler : arstechnica, zdnet.com, et chaque fois c’est totalement flou. Chose surprenante, c’est Kasperchose, vendeur de solutions anti-virus qui fait circuler les rumeurs. J’aimerais bien avoir des billes plus précises pour mesurer le côté sérieux de la menace !
#83
#84
#85
Ok, je vois que vous avez toujours pas suivi ce que je tentais d’expliquer… Ce n’est pas parce que le virus sera innofensif sous Linux que tu ne risques pas de le distribuer (pièce jointe, clé usb…etc) à quelqu’un d’autre chez qui (Windows) le virus sera réellement menaçant…
#86
en non juste bloquer et loger l’accès à ce site !
#87
#88
#89
Du gros n’importe quoi dans les commentaires, comme d’habitude.
Pour ceux que ça intéresse vraiment, je vous conseille de jeter un oeil sur ce commentaire publié sur linuxfr.org
#90
trop gros, mais bonne pêche quand même
" />
#91
Les logiciels de mail déballent les pièces jointes dans $TMPDIR (ou directement /tmp) qui est un peu plus sport à monter en noexec si on ne veut pas péter les gestionnaires de paquets. Mais même si tout ça est noexec, tu peux quand même recevoir un .exe reconnu comme un type de document qui s’ouvre avec l’application /usr/bin/wine.
Ou même n’importe quel binaire natif, tu l’exécutes même en noexec, en lançant explicitement /lib/ld-linux.so ./binaire mais ça ne serait pas fait automatiquement en cliquant sur un fichier par contre.
#92
#93
Si, ça j’ai bien compris, ne t’inquiète pas… mais c’est pas mon problème : prix Darwin !
#94
Bon à savoir, merci !
#95
#96
Ce que je retiens dans vos commentaires, c’est qu’aucun OS n’est fiable à 100%.
" />
Je n’hésiterai pas à vous rappeler vos propos lorsque vous critiquerez Windows(daube?) que vous aurez bien entendu la bonne foi de reconnaître finalement au moins aussi fiable ( c’est à dire pas à 100%) que Gnu/Linux. ..
#97
Non justement, même si Linux n’est pas fiable à 100%, il l’est beaucoup plus que Windows.
#98
Non , il est juste moins exposé..
Dans l’industrie, c’est binaire: fiable ou pas fiable. Linux est donc comme Windows, pas fiable.
#99
#100
Il est au contraire plus exposé, vu le nombre de serveurs critiques qui sont sous Linux…
Et rien n’est fiable à 100%. Donc même dans l’industrie la fiabilité n’est pas binaire, il y a un critère de risque.
Et Linux est largement moins risqué vis-à-vis des virus.
#101
C’est marrant que tu parles de l’industrie (laquelle ?) car justement les études de risques sont tout sauf binaires.
#102
Bin non: une chose est fiable ou pas (Gnu/Linux ou pas..) 
" />
Ensuite, si elle ne l’est pas, il est possible d’améliorer sa fiabilité.
Quant à ton assertion sur l’exposition supposée de Gnu/Linux, tu peux me donner des chiffres du nombres de machines sous Windows vs le nombre de machines sous Gnu/Linux?
#103
Je parles de fiabilité (qui est un constat sur l’état d’une chose) et non de l’étude de risques qui porte sur les conséquences et implications potentielles sur cette chose, par exemple sur sa fiabilité..
" />
#104
#105
De toute façon, tout comme le prochain Windows, Linux aura également bientôt droit aux applications sandboxées
Billet de Lennart Poettering, Revisiting How We Put Together Linux Systems. Ainsi que deux billets d’Allan Day, Sandboxed applications for GNOME et Sandboxed applications for GNOME, part 2.
Après, pour plus de sécurité, il faut également bien choisir sa distribution. Certaines, comme Fedora, proposent une configuration adéquate de SELinux qui limite pas mal les risques, quand d’autres distributions ne proposent absolument rien de plus que les basiques droits Unix.
#106
Pour les NAS, je pense que ça viens aussi du fait que les màj ne doivent pas être propagées rapidement (voire pas du tout ?)
Ensuite il y a virus et virus.
Un script qui copie l’intégralité du dossier personnelle et l’envoie sur un serveur extérieur, ça n’exploite que la bêtise de l’utilisateur qui l’exécute. Comme pour les applis Android qui envoient des SMS surtaxés. Je pense pas qu’on puisse appeler ça « virus ».
Je n’ai pas vu dans la news si le virus exploitait réellement une faille dans un programme pour accéder aux droits root.
#107
#108
#109
S’il y a peu de virus c’est pas parce que c’est plus sécurisé c’est parce que les développeurs de virus s’y intéressent moins. Techniquement il est beaucoup plus facile de développer un virus pour Linux que pour Windows, les failles sont beaucoup plus visibles car le code source est en accès libre.
#110
Quelques questions:
Notez que puisqu’il s’agit d’un malware impliqué dans une APT
J’ai pas compris de quoi vous parlez ?
conçu pour l’architecture i386 et pour fonctionner sous Linux avec un noyau 2.2.5
C’est pas formidablement formulé et j’ai du mal a comprendre, est-ce limité a l’architecture i386 ?
Puis finalement j’ai pas vraiment compris comment ce fichier de 640K fonctionnei.
#111
“Turla vue ?
- Qui ?
Ok, baissez vos armes…je sors…
en sortant:
#112
#113
#114
#115
En 2014, il y avait une base de deux milliards d’ordinateurs personnels (« As of June 2008, the number of personal computers in use worldwide hit one billion, while another billion is expected to be reached by 2014. »)
Toujours en 2014, la part de marché de Linux sur le poste de travail semble être de 1.25% (« According to web server statistics, as of December 2014, the estimated market share of Linux on desktop computers is 1.25%. »)
Ça nous fait donc déjà 25 millions de machines sous Linux… Mais comme Linux est également utilisé sur plus de 60% des serveurs web, sur près de 80% des smartphones (parts de marché d’Android), mais également sur l’écrasante majorité des objets connectés qui commencent à débarquer, au final, ça représente des centaines de millions, voir des milliards de machines sous Linux.
Donc bon, je crois qu’il y a matière à s’amuser et à intéresser les créateurs de virus.
Puis le coup des sources ouvertes, ça ne tient pas non plus. Celles de Windows ne sont pas disponibles, et ça ne l’a pas empêché de voir apparaître des centaines de milliers de virus différents ces vingt dernières années.
Et le fait que les sources soient ouvertes, ça va dans les deux sens. Plus facile à trouver d’éventuelles failles, aussi bien du côté des black hat que des white hat, mais également plus facile à corriger. Sous Windows, seul Microsoft peut corriger un problème. Sous Linux, n’importe qui peut s’en charger. Les projets logiciels eux-même, les différentes distributions qui collaborent, les utilisateurs ou les entreprises (Google, Facebook… nombreuses sont celles qui contribuent).
Et quand il y a des failles à corriger, on attend pas bêtement le deuxième mardi du mois…
#116
Je ne savais pas que les antivirus sous Linux existaient, comme je croyais que les virus n’existaient pas non plus.
un antivirus n’est pas franchement utile sur un poste client (ordinateur personnel)
#117
c’est pas ce genre de news qui va dissuader quiconque d’utiliser linux
windows étant en soi un cheval de Troie géant pour les bonnes brebis, le choix demeure très simple
#118
Si tu veux jouer sur les mots, ce sont tous des logiciels malicieux et aucuns d’eux n’est un virus car aucuns d’eux ne modifient les binaires stockés sur la machine, ils s’exécutent eux même et laissent les autres binaires intouchés.
La nouvelle indique bien “malware” d’ailleurs, l’utilisation de virus est en général un abus de langage, ce sont rarement des virus.
Pour ce qui est de l’installation et l’exécution des logiciels/scripts malicieux, la faille est généralement la bêtise de l’utilisateur quelque soit le système, de même que quelque soit le système il existe des failles au niveau de celui-ci.
Quand je parlais de virus, je parlais donc de logiciels malicieux. La variante de cryptolocker pour les NAS basé Linux était bien un logiciel malicieux et pas un simple script que l’utilisateur a lancé lui même je pense. (exemple)
#119
Rare veut pas dire inexistant. Il y en avait, mais ça faisait moins de dégâts car l’utilisateur, à moins de tourner sous compte root, ne peut faire grand chose sans confirmation du mot de passe. (Même cas pour Windows depuis Vista si l’utilisateur ne clic pas sur “oui” bêtement sur la requête UAC)
#120