Les Pokémon se glissent parfois là où on ne les attend pas. Et désormais au sein des programmes informatiques malveillants. Un groupe de cybercriminels, actif sur le Dark web depuis 2013 au moins, a baptisé son rootkit du nom d’un des célèbres personnages animaliers aux pouvoirs surnaturels. Mais en beaucoup moins sympathique. C’est du moins ce que révèle la dernière trouvaille de Trend Micro.
Les chercheurs en sécurité de l’éditeur ont mis la main (sans pokeball) sur Umbreon (du nom d’un Pokémon qui se cache dans la nuit), un rootkit qui vise les plates-formes Linux sous architectures x86 et ARM. Le développement de la bestiole remonte à début 2015. Et si elle s’installe manuellement sur un poste de travail (potentiellement à distance si une faille de sécurité en donne l’occasion), un serveur ou appareil avec système embarqué comme un routeur, Umbreon est « très dur à détecter ». Quand bien même il s’exécute dans le mode utilisateur, il entend bien rester invisible aux yeux des administrateurs. Et il est très difficile de s’en défaire.
Plus précisément, Umbreon est un « rootkit à 3 cercles » (ou rootkit à trois niveaux), détaille Trend Micro sur son blog. Concrètement, le malware n’installe aucun composant noyau supplémentaire mais vient prendre la place des fonctions propres à la librairie C (libc) utilisée comme interface pour les appels système par les autres programmes, notamment pour lire et écrire des fichiers, activer des processus ou envoyer des données sur le réseau. En remplaçant libc, Umbreon force les exécutables à utiliser ses fonctions propres. Une sorte de « rootkit-du-milieu » système qui peut ainsi altérer les réponses aux demandes des requêtes logicielles.
Qui plus est, le rootkit crée un compte Linux, invisible, accessible par n’importe quelle méthode d’authentification utilisée par l’OS libre (comme SSH). Enfin, Umbreon installe une porte dérobée. Baptisée Espeon, nom inspiré d’un autre Pokémon, cette backdoor « peut être chargée d’établir une connexion à une machine de l’attaquant, fonctionnant comme un shell inversé pour contourner les pare-feux », prévient Trend Micro. Autrement dit, Espeon peut ouvrir à l’attaquant un accès distant à l’interpréteur de commandes de la machine affectée. Ce qui revient quasiment à lui en donner le contrôle.
Selon l’éditeur en sécurité, la similitude entre Umbreon et libc empêche les outils traditionnels de détecter le rootkit. Écrits en C, ces outils vont faire appel aux fonctions de l’usurpateur qui se gardera bien de se dénoncer. « Parce qu’Umbreon remplace les fonctions de libc, la création d’un outil fiable pour le Umbreon nécessiterait un outil qui n’utilise pas libc », suggère Trend Micro. Qui propose un ensemble de règles, baptisées Yara, pour pointer la lumière sur Umbreon.
Les distributions Linux devraient rapidement être mises à jour par la communauté pour protéger les utilisateurs de postes de travail et serveurs du nouveau rootkit. Mais les mises à jour des systèmes embarqués sont moins systématiquement appliquées. Ce qui rend les routeurs et autres machines connectées plus vulnérables et en font des cibles idéales pour les cybercriminels. L’Internet des objets (IoT) constitue d’ailleurs un océan d’opportunités en ce sens pour eux. Récemment, l’opérateur Level 3 notait qu’un million d’enregistreurs numériques résidentiels avaient été enrôlés dans des botnets pour lancer des attaques DDoS.
Lire également
FairWare, un ransomware qui supprime les fichiers des serveurs Linux
Le malware Godless prend secrètement la main sur les smartphones Android
Une nouvelle formation dédiée à la sécurité pour les 25 ans de Linux
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…