Hackers chinois : de nouveaux malwares pour cibler les systèmes Linux

Les chercheurs en sécurité de chez Intezer ont découvert une porte dérobée avec des liens vers un groupe de piratage chinois. Baptisée RedXOR, cette porte dérobée est utilisée dans des attaques en cours visant les systèmes Linux.

Les serveurs Linux et les points de terminaison ciblés 

Les échantillons de logiciels malveillants RedXOR trouvés par Intezer ont été téléchargés sur VirusTotal (1, 2) depuis Taïwan et l’Indonésie (cibles connues des pirates informatiques chinois). Le taux de détection est faible. Sur la base des serveurs de commande et de contrôle toujours actifs, la porte dérobée Linux est utilisée dans des attaques en cours visant à la fois les serveurs Linux et les points de terminaison.

RedXOR est livré avec un large éventail de fonctionnalités parmi lesquelles l’exécution de commandes avec des privilèges système, la gestion des fichiers sur des boîtiers Linux infectés ou encore le masquage de son processus à l’aide du rootkit open source Adore-ng. Le proxy du trafic malveillant et la mise à jour à distance font aussi partie de ses nombreuses fonctionnalités. 

Un nouvel outil de l’arsenal du groupe de menaces chinois Winnti ?

Les chercheurs pensent que ce nouveau malware est un nouvel outil malveillant ajouté à l’arsenal du groupe de menaces chinois Winnti. En tenant compte de la victimologie ainsi que des composants, tactiques, techniques et procédures (TTP) similaires,  RedXOR aurait été développé par des acteurs chinois de haut niveau selon Intezer.

Intezer a également trouvé plusieurs connexions entre la porte dérobée RedXOR Linux et plusieurs souches de logiciels malveillants liées à Winnti, y compris la porte dérobée PWNLNX et les botnets Groundhog et XOR.DDOS. Lors de la comparaison de ces souches de logiciels malveillants, les similitudes découvertes par les chercheurs en sécurité incluent l’utilisation :

  • des anciens rootkits open-source du noyau 
  • des fonctions de nom identique 
  • du trafic malveillant codé XOR
  • du schéma de dénomination comparable pour les services de persistance
  • de la compilation à l’aide des anciens compilateurs Red Hat
  • du flux de code et fonctionnalités très similaires, etc.

Qui est Winnti ?

Winnti est un terme générique utilisé pour suivre un collectif de groupes de piratage soutenus par l’État chinois (BARIUM de Microsoft, APT41 de FireEye, Blackfly et Suckfly de Symantec, Wicked Panda de CrowdStrike). Ces groupes APT partagent un arsenal d’outils malveillants utilisés dans le cyberespionnage et les attaques à motivation financière depuis au moins 2011. C’est à ce moment-là que les chercheurs de Kaspersky ont découvert le malware Trojan de Winnti sur un grand nombre de systèmes de jeu compromis à la suite d’une attaque qui compromettait le serveur de mise à jour officiel d’un jeu. 

Les groupes APT ciblent de plus en plus les utilisateurs Linux. Les chiffres indiquent une augmentation de plus de 40% des nouveaux malwares Linux découverts en 2020. Les pirates des États-nations se concentrent aussi davantage sur le ciblage des systèmes Linux, comme le souligne un rapport Intezer 2020 résumant les dix dernières années d’attaques APT sur Linux.