En analysant un botnet, des chercheurs en sécurité sont tombés sur une vingtaine de portes dérobées basées sur OpenSSH, un arsenal qui jusqu’à présent était passé sous la couverture radar.
Si Windows reste la cible principale des pirates, cela ne veut pas dire que les autres systèmes d’exploitation ne sont pas également victimes de malwares. Ils le sont, mais à un degré moindre, c’est pourquoi ce phénomène passe souvent inaperçu.
Mais quand on se focalise sur l’un de ces systèmes, on trouve assez rapidement quelque chose. C’est ce qui s’est produit pour les chercheurs en sécurité d’Eset. En analysant la mécanique du botnet Windigo, ils ont découvert l’existence d’un vaste arsenal de portes dérobées qui, jusqu’à présent, avaient échappé à l’attention des experts en sécurité.
En effet, pour pouvoir rester de manière persistante sur une machine Linux infectée, le botnet Windigo dispose d’une porte dérobée baptisée Ebury, qui n’est rien d’autre qu’une version malveillante d’OpenSSH, un logiciel de connexion à distance très couramment utilisé.
Mais avant d’installer Ebury sur la machine, Windigo exécute un script qui vérifie s’il n’y a pas déjà un concurrent dans la place, en passant en revue une quarantaine de signatures de portes dérobées basées sur OpenSSH. « Nous nous sommes rapidement rendus compte que nous n’avions aucun exemplaire de malware correspondant à ces signatures. Les pirates ont en fait une meilleure visibilité que nous sur les portes dérobées SSH utilisées dans la vraie vie », explique Marc-Etienne M.Léveillé, chercheur chez Eset.
Lui et ses collègues ont alors pris ces quarante signatures et, pendant trois ans, ils sont allés fouiller dans leurs dépôts de malware pour trouver des exemplaires. Au final, ils en ont trouvé quelques centaines qu’ils ont pu cataloguer en 21 familles différentes.
Toutes ces portes dérobées reposent sur OpenSSH et sont utilisées de manière active par des pirates. Certaines sont assez simplistes et ne permettent que l’exécution de commandes. D’autres sont nettement plus sophistiquées et comportent tout un tas de fonctionnalités supplémentaires : vol de mots de passe, techniques d’exfiltration, minage de cryptomonnaie, obfuscation de code, etc.
Les chercheurs ont publié un livre blanc dans lequel les différentes familles de malware sont analysées en détail. Une lecture désormais obligée pour les administrateurs système consciencieux qui veulent s’assurer que leurs serveurs Linux ne sont pas vérolés.