Il y a de fortes chances que le mot même Linux évoque pour plusieurs d’entre vous des barrières de sécurité presque impénétrables. Cependant, les systèmes informatiques basés sur Linux et les applications qui y sont exécutées se retrouvent de plus en plus souvent dans la ligne de mire d’acteurs malveillants. Qui plus est, les dernières années ont vu la découverte d'un certain nombre de campagnes malveillantes qui ont frappé les systèmes Linux, y compris des botnets constitués de milliers de serveurs Linux. Ces menaces croissantes ont remis en question l'idée reçue selon laquelle Linux serait plus ou moins épargné par les problèmes qui touchent d'autres systèmes d'exploitation, notamment Windows.
Malheureusement, de nombreux administrateurs de systèmes Linux n'ont pas les connaissances nécessaires pour contrer les menaces qui pèsent sur leurs infrastructures. Pour contribuer à changer cela, Marc-Étienne dirigera un atelier lors de la conférence RSA 2020, intitulé Hunting Linux Malware for Fun and Flags, qui fournira aux professionnels de l'informatique une excellente occasion de se confronter aux logiciels malveillants Linux du monde réel dans un environnement contrôlé.
Avant son atelier et sa présentation, nous avons profité de l'occasion pour demander à Marc-Étienne ce qu'il pensait de la sécurité de Linux.
Vous avez passé des années à traquer les logiciels malveillants qui s'infiltrent dans les serveurs basés sur Linux. Pourriez-vous nous donner une vue d'ensemble des menaces que représentent les logiciels malveillants sous Linux au début de l'année 2020?
Le paysage de la menace des logiciels malveillants pour Linux en 2020 est assez similaire à ce que nous avons vu ces dernières années. Nous savons qu'Ebury, la porte dérobée d'OpenSSH utilisée dans le cadre d'Operation Windigo, est toujours en cours de mise à jour et utilisée dans la nature en 2020. De nouveaux échantillons ont été vus au cours du mois dernier. Il y a quelques années, on a également constaté une recrudescence des logiciels malveillants visant les routeurs et autres périphériques basés sur Linux - par exemple, Mirai et toutes ses variantes, et Moose. Nous entendons moins parler de ces menaces ces derniers temps et j'espère que c'est parce que les fournisseurs d'accès à Internet (FAI) et les vendeurs ont fait un meilleur travail de sécurisation de ces périphériques et évitent d'exposer l'accès d'administration à distance avec des mots de passe par défaut.
Nous n'avons pas encore trouvé de campagne aussi sophistiquée que l'opération Windigo que nous avons documentée il y a plus de cinq ans. Cela ne veut pas dire qu'il n'y en a pas ; peut-être que les auteurs de ces crimes sont de plus en plus habiles à passer sous le radar?
Quelles sont les principales menaces qui pèsent sur les serveurs Linux?
Les menaces dépendent principalement des services fournis par les serveurs. Par exemple, si un site web populaire est compromis, il peut être utilisé pour rediriger le trafic, effectuer une attaque de points d'eau pour compromettre ses visiteurs, ou voler les données fournis par formulaires. Nous observons également que de nombreux spams sont envoyés par des serveurs qui semblent compromis. Il y a quelques années, nous avons assisté à la propagation de la cryptocriminalité. Il s'agit d'un moyen simple de monétiser un botnet Linux sans trop interférer avec les services de l'hôte légitime.
Qu'est-ce qui a changé depuis que vous avez analysé pour la première fois des logiciels malveillants ciblant Linux?
Nous voyons de plus en plus de groupes effectuant des attaques ciblées qui ont également des logiciels malveillants Linux dans leur arsenal. Cela va au-delà des campagnes habituelles de logiciels malveillants que nous voyions et qui étaient utilisées à des fins financières. Par exemple, on a découvert l'année dernière que le groupe Winnti, connu pour ses campagnes d'espionnage et ses motivations financières, avait des variantes de Linux dans sa porte dérobée. Cela a été révélé par Kaspersky pendant le SAS et analysé par Chronicle quelques semaines plus tard. D'autres bons exemples sont la porte dérobée multi-plateforme Xagent du groupe Sednit et Kamino, une backdoor OpenSSH utilisée par Carbanak.
Certaines des campagnes que vous avez contribué à mettre au jour sont restées sous le radar pendant des années. Pourquoi? Pensez-vous que cela pourrait également changer?
Il est difficile de dire si d'autres campagnes sont restées sous le radar, car nous ne connaissons toujours pas les inconnues. Ce que je veux dire, c'est qu'il est très probable qu'il y ait de nombreux réseaux de zombies Linux qui sont encore sans documentation. Combien y en a-t-il? Plus ou moins qu'avant? Ce sont des questions auxquelles il est difficile de répondre sans mesures.
En quoi l'absence de télémétrie concernant les logiciels malveillants de Linux entrave votre travail?
Seul un faible pourcentage d'utilisateurs installent des produits de sécurité sur les systèmes Linux. Il est donc difficile de déterminer la prévalence d'une menace Linux: les chiffres sont-ils faibles parce que les échantillons sont de petite taille ou est-ce parce que cette menace est peu fréquente? Ce problème n'est pas spécifique à un fournisseur : il y a une tendance générale à traiter les systèmes Linux différemment, parfois pour de bonnes raisons, mais je pense que la plupart du temps pour de mauvaises raisons.
Chaque fois qu'un nouveau logiciel malveillant visant Linux est découvert, les utilisateurs de Linux semblent surpris et tendent à nier le problème. Pensez-vous que Linux est plus sûr que les autres systèmes d'exploitation?
Beaucoup de gens pensent que Linux est un système d'exploitation assurant une sécurité supérieure à celle de tous les autres. En 2020, je ne pense pas que nous puissions affirmer cela. Microsoft et Apple ont tous deux fait beaucoup d'efforts pour sécuriser leurs plateformes. Par exemple, l'intégration de signatures de code dans les fichiers exécutables et l'application de signatures valides pour les fonctionnalités des systèmes de clés et des pilotes de périphériques sont quelque chose qui est disponible depuis des années sous Windows et MacOS, alors que sous Linux, ce n'est pas encore très répandu. Je ne dis pas que Linux n'est pas sûr, mais plutôt que, comme les autres plateformes, il a ses forces et ses faiblesses et ne devrait certainement pas être considéré comme invulnérable.
Y a-t-il quelque chose qui distingue les logiciels malveillants basés sur Linux des codes malveillants qui visent d'autres systèmes d'exploitation? Quelque chose de particulier en termes de furtivité, d'obscurcissement, de blindage, de persistance, etc.?
Par rapport aux logiciels malveillants de Windows, les logiciels malveillants de Linux ont tendance à être moins obscurcis et plus faciles à analyser. L'obscurcissement est souvent ajouté pour échapper à la détection par les produits de sécurité. Comme il n'y a souvent pas de produits de sécurité à contourner, la barre est plus basse et les attaquants passent cette étape inutile. Je ne dis pas que tous les logiciels malveillants de Linux sont faciles à analyser et qu'aucun n'est obscurci. Ce que je dis, c’est qu'en moyenne, la barre est plus basse.
Lorsqu'un serveur Linux est compromis, la persistance des logiciels malveillants n'est pas un problème aussi important que sur d'autres systèmes. Les serveurs ont tendance à avoir des temps de fonctionnement très élevés et les redémarrages sont beaucoup moins fréquents que sur les ordinateurs de bureau ou portables. Par conséquent, en général, les logiciels malveillants sous Linux ont tendance à manquer de mécanismes de persistance.
Quels sont les vecteurs d'attaque les plus courants pour compromettre les serveurs Linux?
Je pense que les vulnérabilités des applications web restent l'un des vecteurs d'attaque les plus courants pour compromettre les serveurs Linux. Cependant, nous avons vu des vulnérabilités être révélées ces dernières années sur des services très populaires tels que le serveur de messagerie Exim (CVE-2019-10149). L'exploitation de cette vulnérabilité a été assez facile et nous avons vu de nombreuses tentatives d'utilisation pour propager des logiciels malveillants juste après leur divulgation.
Quels sont les meilleurs moyens d'empêcher de telles infiltrations?
Je sais que cela peut sonner comme un disque rayé... Mais la mise à jour des logiciels reste l'une des recommandations clés. Pour les serveurs de production utilisant une distribution Linux avec un support à long terme, il est préférable de s'assurer de disposer de correctifs de sécurité sans avoir à mettre à jour le système d'exploitation complet et sans risquer de casser les services de production.
L'activation de l'authentification à deux facteurs (2FA) sur SSH est également une bonne recommandation, surtout si le système est accessible depuis Internet. La 2FA protégera le serveur en cas de vol ou de réutilisation des identifiants.
Pour éviter de passer d'un service à l'autre, l'isolation des services est également une bonne pratique. Par exemple, l'hébergement d'un blog non maintenu sur le même système qu'un site web où sont traitées des transactions financières présente un risque, car compromettre le blog peut entraîner la compromission du site web transactionnel.
Il y a cinq ans, vous disiez que le manque de connaissances criminalistiques sur Linux est le principal problème des administrateurs de systèmes. Cela a-t-il changé?
Je pense que c'est toujours un problème, mais la cause profonde en est aussi le manque de temps alloué à la sécurisation des systèmes, par rapport au développement de nouveaux systèmes. De même, l'effort consacré à la formation du personnel interne en matière de sécurité est souvent minime. Il n'est pas nouveau que la sécurité soit souvent considérée comme une dépense. Il ne s'agit pas d'un problème spécifique à Linux. Cependant, cette dépense semblerait soudain en valoir la peine si un incident se produisait.
Retournons maintenant notre attention vers votre prochain atelier à la RSA. Pourriez-vous nous donner un aperçu de ce qui vous attend – ainsi que les participants?
Ce sera ma première présentation à RSA. J'espère y présenter un contenu technique intéressant sous la forme d'un atelier pratique et d'une présentation jeudi pendant l'événement.
L'atelier sera ouvert tout au long de la semaine que durera RSA. Pour y participer, il suffit d’avoir un ordinateur avec un navigateur web, le client OpenVPN et un client SSH. Il est conçu pour se rapprocher le plus possible d'une situation réelle : le serveur est activement compromis en utilisant un service vulnérable, un logiciel malveillant parle à un serveur C&C, etc. Venez nous rendre visite au stand d'ESET pour pouvoir y accéder.
Ma présentation résumera les différents outils Linux couramment disponibles pour enquêter sur une violation. Il est important de comprendre quelles données et métadonnées sont disponibles et comment les interroger et les analyser. J'expliquerai comment ces outils ont été utiles lors d'incidents réels sur lesquels nous avons travaillé.
Merci Marc-Etienne!