Le nombre de malwares Linux a augmenté de 35% en 2021 par rapport à 2020. Une tendance alarmante, avec une croissance fulgurante des attaques DDoS et des botnets Mozi et Mirai…
Jadis réputé pour sa sécurité, le système d’exploitation Linux n’est désormais plus à l’abri des cyberattaques. En 2021, le nombre de malwares visant des appareils Linux a augmenté de 35% par rapport à 2020.
La plupart de ces attaques avaient pour but de » recruter » des appareils IoT, afin de mener des attaques par déni de service ou DDoS. En effet, de nombreux appareils IoT fonctionnent sous diverses distributions Linux.
Ces objets connectés sont limités à des fonctionnalités spécifiques, mais les hackers combinent leurs ressources en larges groupes pour lancer des attaques DDoS massives capables d’ébranler les infrastructures les mieux protégées. C’est ce qu’on appelle un » botnet « .
Outre les DDoS, les appareils IoT sous Linux sont enrôlés pour le minage de cryptomonnaies ou pour orchestrer des campagnes de spam par email. Ils peuvent aussi servir de point d’entrée pour une intrusion sur le réseau d’une entreprise, ou agir comme un serveur de commande et de contrôle lors d’une cyberattaque.
XorDDoS, Mirai et Mozi : la trinité des malwares Linux
Les trois principaux malwares déployés sur des systèmes Linux sont XorDDoS, Mirai et Mozi. À eux trois, ces maliciels représentent 22% de toutes les attaques au malware lancées contre Linux en 2021.
Tout d’abord, XorDDOS est un cheval de Troie particulièrement versatile. Il est conçu pour infecter différentes architectures de systèmes Linux, allant de ARM pour l’IoT à x64 pour les serveurs. Ce trojan utilise le chiffrement XOR pour les communications C2.
Lors d’une attaque contre des appareils IoT, XorDDoS utilise la force brute contre les appareils vulnérables via le SSH. Sur les machines Linux, il utilise le port 2375 pour obtenir un accès root sans mot de passe. En 2021, une distribution de XorDDoS a marqué les esprits lorsque le cybercriminel chinois Winnti l’a déployée avec d’autres botnets.
Le second malware le plus utilisé contre Linux est Mozi : un botnet P2P reposant sur la table de hachage distribuée du système pour dissimuler les communications C2 suspectes aux yeux des solutions de surveillance du trafic réseau.
Ce botnet circule depuis 2019, et ajoute continuellement de nouvelles vulnérabilités à son champ d’action. En 2021, Mozi a connu une croissance explosive avec dix fois plus d’échantillons observés par rapport à 2020.
Enfin, le célèbre botnet Mirai s’est décliné en nombreuses fourches au fil des années grâce à son code source publiquement accessible. Ce malware sème la terreur dans le monde de l’IoT. En 2021, il a connu une croissance massive de 123%.
Les différentes déclinaisons de Mirai implémentent divers protocoles de communication. Toutefois, de manière générale, toutes ces variantes reposent sur l’usurpation d’identifiants à faible sécurité pour mener des attaques par force brute sur les appareils.
La descente aux enfers de Linux se poursuit en 2022
Plusieurs variants de Mirai ont fait l’actualité en 2021, comme Dark Mirai focalisé sur les routeurs ou Moobot ciblant les caméras connectées. La firme de cybersécurité CrowdStrike a aussi identifié les variants Sora, IZIH9 et Rakai. En comparaison avec 2020, le nombre d’échantillons pour ces trois variants a respectivement augmenté de 33%, 39% et 83%.
Selon le rapport des chercheurs Crowdstrike, cet essor massif n’est pas surprenant. Il s’inscrit dans la continuité d’une tendance entamée ces dernières années. Déjà en 2020, Intezer signalait une augmentation de 40% du nombre de familles de malwares Linux par rapport à l’an précédent.
Au premier semestre 2020, le malware Golang a connu une croissance de 500%. Le but des cybercriminels était d’exécuter leur code sur de multiples plateformes. Cette tendance se poursuit déjà début 2022 et de nouveaux records risquent d’être atteints…
https://www.youtube.com/watch?v=mc0J5fEuWSM
- Partager l'article :