Avis aux développeurs : ESET, éditeur européen leader en solutions de cybersécurité, a découvert 12 familles de codes malveillants pour Linux jamais identifiées auparavant. Il s'agit de portes dérobées d'ores et déjà largement utilisées par des acteurs malveillants et des groupes APT suivis par les chercheurs ESET. Techniquement, ces portes dérobées sont basées sur OpenSSH, le moyen de connexion et d'administration à distance le plus populaire parmi les serveurs Linux, qu'ils soient virtuels, dans le Cloud ou dédiés. Et parce que 37% des serveurs Linux accessibles depuis Internet fonctionnent sous Linux, OpenSSH est de facto la cible idéale pour des acteurs malveillants toujours en recherche de machines à contrôler. Le rapport publié par les chercheurs ESET, "The Dark Side of the ForSSHe", décrit la traque qui a conduit à la détection de ces nouvelles familles de malwares (notamment la mise en œuvre de serveurs dits « pots de miel » personnalisés, et l'analyse des diverses souches remontées). Il offre ainsi une vision sur l'Etat de l'Art de l'usage des portes dérobées OpenSSH par les cybercriminels. Lors de cette analyse, plusieurs astuces intéressantes mises en œuvre par les criminels ont été révélées. Ainsi, l'une de ces nouvelles familles de backdoors implémente plusieurs façons de communiquer avec son serveur de contrôle (C&C). Elle peut utiliser indifféremment des connexions HTTP traditionnelles, du TCP pur ou encore passer par le protocole DNS. Encore plus original, d'autres sont en mesure de recevoir des commandes dissimulées dans les mots de passe SSH, ou encore embarquent des fonctions de minage de cryptomonnaies. Pour Marc-Etienne Léveillé, chercheur senior chez ESET et chargé de cette étude, ces nouvelles menaces ne sont pas anodines : « J'entends parfois dire que Linux est plus sûr que d'autres systèmes d'exploitation, voire qu'il serait immunisé contre les malwares. Mais les menaces qui pèsent sur Linux ne sont pas moins sérieuses que les autres, et nous consacrons d'importantes ressources afin de les étudier et d'améliorer la protection des systèmes Linux » Cette nouvelle étude s'appuie sur des éléments issus de l'enquête menée en 2013 sur le botnet « Operation Windigo », dans laquelle les chercheurs ESET avaient mis à jour un réseau complexe composé de 25 000 serveurs Linux, qu'ils avaient contribué à neutraliser (voir à ce sujet le rapport complet de cette investigation). L'un des éléments-clés issus de Windigo était une porte dérobée OpenSSH baptisée Ebury. Les chercheurs ESET avaient alors remarqué que ses opérateurs vérifiaient au moment de son installation la présence d'autres backdoors OpenSSH. Comme les portes dérobées OpenSSH étaient un domaine relativement méconnu à l'époque, les chercheurs ESET ont donc décidé d'approfondir le sujet et d'aller à leur recherche, ce qui a conduit à la découverte actuelle. Afin de protéger les systèmes Linux, ESET recommande les actions suivantes : _ Conservez les systèmes à jour de leurs correctifs _ Préférez une authentification par clé publique/privée pour SSH _ Interdisez les connexions distantes à l'utilisateur root _ Mettez en œuvre une solution d'authentification à plusieurs facteurs (dite forte) pour SSH.
