Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web présente un aperçu des menaces orientées IoT et ciblant Linux

le 17 octobre 2016

Beaucoup d'appareils différents fonctionnent sous Linux : des consoles de télévision, des stockages réseau, des routeurs, caméras de surveillance ect…, dont un bon nombre est utilisé avec les paramètres par défaut, ce qui les rend vulnérables face au piratage. Doctor Web a recueilli des statistiques sur les menaces Linux les plus courantes aujourd'hui, y compris celles représentant un danger pour l’Internet des objets. Cette étude montre que les cybercriminels installent souvent des Trojans sur les appareils compromis afin d'effectuer ensuite des attaques DDoS.

À l’heure actuelle, la principale action des cybercriminels qui diffusent des Trojans ciblant l’Internet des objets consiste à créer des botnets permettant d'effectuer des attaques DDoS, même si certains Trojans sont conçus pour utiliser les appareils contaminés en tant que serveur proxy. Depuis mi-septembre 2016, les experts de Doctor Web ont détecté 11 636 attaques sur divers périphériques sous Linux, dont 9 582 ont été effectuées en utilisant le protocole SSH et 2054, Telnet. Le plus souvent, les malfaiteurs ont téléchargé sur les périphériques piratés 15 types de malware dont la majorité appartient aux familles Linux.DownLoader, Linux.DDoS et Linux.BackDoor.Fgt. Le ratio de ces chevaux de Troie est illustré dans le diagramme ci-dessous.

graph #drweb

Selon ces statistiques, le programme malveillant le plus courant est le Trojan Linux.Downloader.37, spécialement conçu pour les attaques DDoS. On trouve également les représentants des familles Linux.Mrblack, Linux.BackDoor.Gates, Linux.Mirai,Linux.Nyadrop, Perl.Flood et PerlDDoS, également utilisés pour perpétrer des attaques DDoS. Dans la plupart des cas, ce sont des modifications de Linux.BackDoor.Fgt qui ont été détectées sur les appareils infectés. Il existe des versions de ce Trojan pour les architectures MIPS, SPARC, m68k, PowerPC, SuperH et autres. Linux.BackDoor.Fgt a également été conçu pour l’organisation d’attaques DDoS. Les cybercriminels téléchargent tous ces programmes malveillants sur des périphériques après avoir obtenu les logins et mots de passe de l’utilisateur et après s'être connecté via les protocoles Telnet ou SSH. Via Telnet, les attaquants tentent de se connecter au nœud attaqué en utilisant le login " root " et lorsqu'ils utilisent SSH, avec le login " admin ":

graph #drweb

graph #drweb

Le tableau suivant montre quelques-unes des combinaisons communes de logins et mots de passe utilisés par les pirates pour infecter des appareils fonctionnant sous Linux. Ces combinaisons ont été utilisées par les cybercriminels lors d’attaques réelles.

SSH
LoginMot de passe :Périphérique/application (probablement)
InformixInformixFamille de systèmes de gestion de base de données relationnelle (SGBD) Informix, éditée par IBM
PiRaspberryRaspberry Pi
RootNagiosxiNagios Server and Network Monitoring Software
nagiosNagiosLogiciel Nagios
cactiuserCactiLogiciel Cacti
rootSynopassLogiciel Synology
adminArticonPasserelle Web sécurisée - ProxySG de Blue Coat Systems
Telnet
Rootxc3511Caméras de surveillance
RootVizxvCaméras de surveillance Dahua
RootAnkoCaméras de surveillance Anko
Root5upRouteurs TP-Link
RootXA1bac0MXCaméras de surveillance CNB

Le nombre d’adresses IP uniques depuis lesquelles les pirates attaquent les périphériques sous Linux surveillés par Doctor Web est en moyenne de 100 :

graph #drweb

Le nombre de fichiers malveillants uniques chargés sur les périphériques piratés varie au cours du temps, de quelques exemplaires à quelques dizaines de fichiers :

graph #drweb

Les statistiques de téléchargements du Trojan Linux.Mirai sur les appareils vulnérables paraissent intéressantes : dès que le code source de ce malware est apparu en accès libre, il est immédiatement devenu populaire parmi les pirates. Le nombre d'adresses IP uniques depuis lesquelles est téléchargé ce Trojan montre l’intérêt qu’il suscite dans le monde de la cybercriminalité. :

graph #drweb

Au mois d'octobre, pour installer Linux.Mirai, les pirates se sont servis d’un Trojan de la famille Linux.Luabot. Au cours de la deuxième moitié du mois de septembre 2016, les analystes de Doctor Web ont constaté des attaques utilisant le Trojan Linux.Nyadrop.1, dont la détection a été signalée par les auteurs du blog MalwareMustDie. Compte tenu des combinaisons de logins et mots de passe utilisées lors de ces attaques, on peut conclure que les routeurs TP-Link ont été ciblés par les pirates. La taille du Trojan Linux.Nyadrop.1 est de 621 octets seulement et il est conçu pour installer d'autres Trojans sur les périphériques compromis.

Voici la répartition géographique des adresses IP depuis lesquelles des programmes malveillants ont été téléchargés sur les appareils vulnérables sous Linux :

map #drweb

Les spécialistes de Doctor Web continuent à surveiller la propagation des logiciels malveillants ciblant Linux et informeront les utilisateurs de l’évolution de la situation.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg