le 17 octobre 2016

Beaucoup d'appareils différents fonctionnent sous Linux : des consoles de télévision, des stockages réseau, des routeurs, caméras de surveillance ect…, dont un bon nombre est utilisé avec les paramètres par défaut, ce qui les rend vulnérables face au piratage. Doctor Web a recueilli des statistiques sur les menaces Linux les plus courantes aujourd'hui, y compris celles représentant un danger pour l’Internet des objets. Cette étude montre que les cybercriminels installent souvent des Trojans sur les appareils compromis afin d'effectuer ensuite des attaques DDoS.

À l’heure actuelle, la principale action des cybercriminels qui diffusent des Trojans ciblant l’Internet des objets consiste à créer des botnets permettant d'effectuer des attaques DDoS, même si certains Trojans sont conçus pour utiliser les appareils contaminés en tant que serveur proxy. Depuis mi-septembre 2016, les experts de Doctor Web ont détecté 11 636 attaques sur divers périphériques sous Linux, dont 9 582 ont été effectuées en utilisant le protocole SSH et 2054, Telnet. Le plus souvent, les malfaiteurs ont téléchargé sur les périphériques piratés 15 types de malware dont la majorité appartient aux familles Linux.DownLoader, Linux.DDoS et Linux.BackDoor.Fgt. Le ratio de ces chevaux de Troie est illustré dans le diagramme ci-dessous.

Selon ces statistiques, le programme malveillant le plus courant est le Trojan Linux.Downloader.37, spécialement conçu pour les attaques DDoS. On trouve également les représentants des familles Linux.Mrblack, Linux.BackDoor.Gates, Linux.Mirai,Linux.Nyadrop, Perl.Flood et PerlDDoS, également utilisés pour perpétrer des attaques DDoS. Dans la plupart des cas, ce sont des modifications de Linux.BackDoor.Fgt qui ont été détectées sur les appareils infectés. Il existe des versions de ce Trojan pour les architectures MIPS, SPARC, m68k, PowerPC, SuperH et autres. Linux.BackDoor.Fgt a également été conçu pour l’organisation d’attaques DDoS. Les cybercriminels téléchargent tous ces programmes malveillants sur des périphériques après avoir obtenu les logins et mots de passe de l’utilisateur et après s'être connecté via les protocoles Telnet ou SSH. Via Telnet, les attaquants tentent de se connecter au nœud attaqué en utilisant le login " root " et lorsqu'ils utilisent SSH, avec le login " admin ":

Le tableau suivant montre quelques-unes des combinaisons communes de logins et mots de passe utilisés par les pirates pour infecter des appareils fonctionnant sous Linux. Ces combinaisons ont été utilisées par les cybercriminels lors d’attaques réelles.

Le nombre d’adresses IP uniques depuis lesquelles les pirates attaquent les périphériques sous Linux surveillés par Doctor Web est en moyenne de 100 :

Le nombre de fichiers malveillants uniques chargés sur les périphériques piratés varie au cours du temps, de quelques exemplaires à quelques dizaines de fichiers :

Les statistiques de téléchargements du Trojan Linux.Mirai sur les appareils vulnérables paraissent intéressantes : dès que le code source de ce malware est apparu en accès libre, il est immédiatement devenu populaire parmi les pirates. Le nombre d'adresses IP uniques depuis lesquelles est téléchargé ce Trojan montre l’intérêt qu’il suscite dans le monde de la cybercriminalité. :

Au mois d'octobre, pour installer Linux.Mirai, les pirates se sont servis d’un Trojan de la famille Linux.Luabot. Au cours de la deuxième moitié du mois de septembre 2016, les analystes de Doctor Web ont constaté des attaques utilisant le Trojan Linux.Nyadrop.1, dont la détection a été signalée par les auteurs du blog MalwareMustDie. Compte tenu des combinaisons de logins et mots de passe utilisées lors de ces attaques, on peut conclure que les routeurs TP-Link ont été ciblés par les pirates. La taille du Trojan Linux.Nyadrop.1 est de 621 octets seulement et il est conçu pour installer d'autres Trojans sur les périphériques compromis.

Voici la répartition géographique des adresses IP depuis lesquelles des programmes malveillants ont été téléchargés sur les appareils vulnérables sous Linux :

Les spécialistes de Doctor Web continuent à surveiller la propagation des logiciels malveillants ciblant Linux et informeront les utilisateurs de l’évolution de la situation.