Le 24 août 2017

Les malwares ciblant Linux sont désormais de plus en plus fréquents. Les analystes de Doctor Web ont été les premiers à détecter les outils de téléchargement de Linux.Hajime.

Les Trojans de la famille Linux.Hajime sont connus des analystes depuis la fin 2016. Ce sont des vers réseau ciblant Linux propagés en utilisant le protocole Telnet. Après une authentification réussie en sélectionnant un mot de passe, le plug-in enregistre sur le périphérique un outil de téléchargement écrit en langage assembleur. Ce dernier télécharge le module principal du Trojan depuis l'ordinateur à partir duquel l'attaque a été lancée. À son tour, le programme malveillant enrôle l'appareil contaminé dans un botnet P2P décentralisé. Linux.Hajime est capable de contaminer les objets avec l'architecture matérielle ARM, MIPS et MIPSEL.

En plus de ce chargeur malveillant pour les appareils ARM, des modules similaires ciblant les périphériques avec les architectures MIPS et MIPSEL sont propagés depuis plus de six mois. Le premier d’entre eux a été nommé Linux.DownLoader.506 , le second Linux.DownLoader.356. Au moment de la rédaction de cet article, seuls les produits Dr.Web étaient capables de détecter les deux outils de téléchargement. Les analystes de Doctor Web ont également constaté qu’en plus de l'utilisation des Trojans Downloader, les pirates contaminent des appareils à l’aide d’utilitaires standard. Ils téléchargent par exemple Linux.Hajime à l'aide de wget. Depuis le 11 juillet 2017, les cybercriminels ont commencé à télécharger le Trojan sur les appareils attaqués en utilisant l'utilitaire tftp.

Les statistiques recueillies par les spécialistes de Doctor Web montrent que, parmi les pays correspondant aux adresses IP des appareils contaminés par Linux.Hajime le Mexique est au premier rang. La Turquie et le Brésil complètent le Top 3 des pays concernés. La répartition géographique des adresses IP relatives aux objets infectés est indiquée dans le schéma suivant:

Le diagramme suivant indique le nombre d'attaques visant la propagation de Linux.Hajime et détectées par Doctor Web au mois d'août 2017.

Doctor Web rappelle: l'un des moyens les plus fiables pour prévenir les attaques sur le périphérique Linux est un changement en temps opportun du nom d'utilisateur et du mot de passe définis par défaut. De plus, il est recommandé de limiter la possibilité de connexion à l'appareil de l'extérieur via les protocoles Telnet et SSH, il faut également mettre à jour le firmware. Dr.Web Antivirus pour Linux détecte et supprime toutes les versions mentionnées de ces outils de téléchargement de Linux.Hajime, il permet également d'effectuer un scan distant des périphériques.