Kaspersky avertit sur son blog qu’un malware parfaitement fonctionnel sur Linux a été trouvé. Il s’agit d’une variante d’une porte dérobée déjà utilisée depuis des années dans des attaques complexes. Pour l’éditeur, il s’agit d’une « pièce jusqu'ici inconnue d'un plus grand puzzle ».
Un malware visant spécifiquement Linux
En août dernier, Kapersky avait indiqué sur son blog avoir des informations au sujet d’une vaste opération baptisée Epic Turla. Il s’agit d’une Advanced Persistent Threat (APT), c’est-à-dire une attaque complexe s’appuyant sur de nombreux facteurs et requérant des synergies entre des failles, des malwares et d’autres techniques. Elles se caractérisent par leur durée, qui peut varier de plusieurs mois à plusieurs années, et sont particulièrement ciblées.
Dans un autre billet récent, Kaspersky avertit cette fois avoir trouvé une variante Linux du malware Turla, dont la mission est d’ouvrir une porte dérobée dans le système. L’éditeur indique que ce n’est pas la première fois que des malwares pour Linux apparaissent, mais dans le cas de Turla, il s’agit bien d’une trouvaille inédite. Il a de plus été retrouvé sur une machine utilisée en production et Kaspersky suspecte, sans pouvoir le prouver, qu’il y résidait depuis des années.
Le fait de créer une variante pour Linux signifie que ses concepteurs ne souhaitaient pas se limiter au seul monde Windows. Le simple fait d’installer Linux n’immunise pas contre les attaques, et la mission de Turla est de créer un socket qui sera alors géré comme un fichier avec des droits de lecture et écriture. Il communique avec un serveur de contrôle inscrit en dur et dont le nom de domaine est « news-bbc.podzone[.]org ».
Kaspersky s'inquiète du nombre de variantes de Turla
Le malware lui-même est un exécutable 32 bits LSB, conçu pour l’architecture i386 et pour fonctionner sous Linux avec un noyau 2.2.5 ou d’une version ultérieure. Il est statiquement lié à trois bibliothèques (glibc 2.3.2, openssl 0.9.6 et libpcap), ce qui le rend relativement « lourd » avec ses 640 ko environ.
Kaspersky le décrit comme un assemblage de code open source issu de plusieurs projets et composants, auxquels les concepteurs ont ajouté des fonctionnalités spécifiques. Certaines parties du code semblent inactives et l’éditeur estime qu’il s’agit de reliquats d’anciennes versions du malware. Une particularité soulignée par Kaspersky est la manière dont Turla communique avec le serveur de contrôle, à savoir par paquets TCP/UDP.
Pour la société de sécurité, cette découverte n’est pas tant significative parce que le malware fonctionne sous Linux que parce qu’elle pose la question de savoir combien il peut exister de variantes de Turla. Elle renforce l’idée que l’évolution actuelle des cybermenaces se fait justement vers les Advanced Persistent Threats et les cibles très en vue telles que les grandes entreprises et les administrations. Les buts recherchés peuvent être très divers, mais il s’agit le plus souvent de sabotage et de vol d’informations, comme dans le cadre de l’espionnage industriel.
Notez que puisqu'il s'agit d'un malware impliqué dans une APT, les chances de le retrouver sur une machine classique sont particulièrement faibles, mais Kaspersky signale évidemment que ses solutions de sécurité savent le détecter.
