Connexion
Abonnez-vous

+ 35 % de malwares Linux en 2021

+35 % de malwares Linux en 2021

Le 18 janvier 2022 à 08h22

Les logiciels malveillants ciblant les systèmes Linux ont augmenté de 35 % en 2021 par rapport à 2020, révèle un rapport de Crowdstrike.

La plupart d'entre eux visent à compromettre les appareils vulnérables de l'Internet des objets (IoT), les rassembler dans des botnets et les utiliser pour effectuer des attaques par déni de service distribué (DDoS).

Plus de 30 milliards d'appareils IoT devraient être connectés à Internet d'ici la fin de 2025, créant une surface d'attaque potentiellement immense pour les menaces et les cybercriminels cherchant à créer des botnets massifs. Et ce, alors que les appareils IoT sont souvent moins sécurisés que ne le sont les smartphones et PC.

Outre les attaques DDoS, les botnets sont souvent utilisés pour relayer du spam, servir de relais ou de serveurs de commande et de contrôle, voire de points d'entrée dans les réseaux d'entreprise, précise BleepingComputer, qui revient sur les trois principaux malwares Linux.

Mirai, le plus connu à mesure qu'il connaît de nombreux forks (du fait de son code source rendu public), abuse de protocoles et de mots de passe faibles, tels que Telnet, pour compromettre les appareils à l'aide d'attaques par force brute.

XorDDoS est un cheval de Troie Linux polyvalent qui fonctionne dans plusieurs architectures système Linux, de ARM (IoT) à x64 (serveurs) qui attaque les appareils vulnérables via SSH en ciblant les serveurs Docker avec le port 2375 ouvert afin d'obtenir un accès root sans mot de passe.

Mozi est un botnet P2P qui s'appuie sur le système de recherche de table de hachage distribuée (DHT) pour masquer les communications C2 suspectes des solutions de surveillance du trafic réseau.

Ces trois malwares représenteraient 22 % des attaques de logiciels malveillants ciblant Linux observées en 2021. BleepingComputer rappelle par ailleurs qu'un rapport d'Intezer avait révélé que les familles de logiciels malveillants Linux avaient déjà augmenté de 40 % en 2020 par rapport à l'année précédente. On en dénombrait 9 en 2010, contre 56 en 2020.

Le 18 janvier 2022 à 08h22

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Arrêtez de colporter des nouvelles aussi affreuses.
Tout le monde sait qu’il ne peut pas y avoir des virus sur LINUX 😁

votre avatar

Personne n’a dit ça, par contre les distrib Linux sont bien blindées de base.



Le problème de l’IOT, comme mentionné dans l’article, c’est que le hardware est tellement verrouillé/non-standard qu’il est impossible d’assurer les màj une fois que le support constructeur est terminé (si toute fois il y avait des màj). Même problème que les téléphones.

votre avatar

Oui comme sous Mac OS, les virus ne touchent que Windows :troll:
Plus sérieusement, mes utilisateurs Mac OS et Linux qu me disent “mais on craint rien avec mon Linux ou mon Mac”, me gonflent.

votre avatar

Bah, c’est un peu vrai quand même ;)



Je suis en train de regarder mes logs apache c’est impressionnant le nombre d’attaques quand même, ça tourne beaucoup autour d’exchange quand même :




192.241.209….- - [17/Jan/2022:…] “GET /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application HTTP/1.1” 404 259
192.241.206… - - [17/Jan/2022:…] “GET /owa/auth/logon.aspx?url=https://1/ecp/ HTTP/1.1” 404 259


votre avatar

Prendre un vendeur de solutions de sécurité pour Linux comme source d’information sans signaler ce fait, c’est quand-même très limite !

votre avatar

Crowdstrike vend des solutions de sécurité pour tous les OS (endpoint), pas uniquement Linux. Et bien qu’ils commencent seulement à pénétrer les PME, c’est quand même un mastodonte sur les grosses infrastructures.



Comment tu peux avoir d’autres stat plus fiable ? Pour suivre cette tendance au mieux, il faut la détecter, la vérifier, et quantifier, et c’est justement leur job (avec la phase blocage entre bien sûr)…



Alors on pourrait la croiser avec d’autres acteurs et faire appel a un cabinet, mais l’info n’a rien d’étonnant, elle suit la tendance des dernières années. L’IoT c’est pas ce qu’il y a de plus sécurisé la plupart du temps..

votre avatar

alain_du_lac a dit:


Arrêtez de colporter des nouvelles aussi affreuses. Tout le monde sait qu’il ne peut pas y avoir des virus sur LINUX 😁


Je sais que c’est de l’ironie, mais on sait bien que sur les systèmes de merdouilles IoT à deux balles totalement inutiles donc indispensables, on trouve souvent du Linux et que c’est toujours packagé à la truelle et assorti de code aussi troué qu’une termitière, donc rien d’étonnant à ce qui arrive aujourd’hui.

votre avatar

Enfin un peu de reconnaissance pour Linux.

votre avatar

Moi ce que je lis ici, c’est que ca touche la couche applicative de certains OS qui ont Linux pour noyau, mais pas le kernel lui même (donc pas “Linux” en tant que tel.



Mirai : “abuse de protocoles et de mots de passe faibles, tels que Telnet”
XorDDoS : “attaque les appareils vulnérables via SSH en ciblant les serveurs Docker”
Mozi : “Botnet P2P qui s’appuie sur le système de recherche de table de hachage distribuée (DHT) “



Mais bon c’est logique en même temps : vu le nombre d’IoT et de brols codés avec le cul qui ont une base kernel linux, et leur developpement ultra rapide, ca ne peut qu’arriver.

votre avatar

je comprends pas comment il peut y avoir 1,35 virus

votre avatar

(quote:1924510:brice.wernet)
Enfin un peu de reconnaissance pour Linux.


C’est clair, cela ne risquait pas d’être un jour le cas d’un windows embedded, heureusement rendu aux poubelles de l’histoire… puisque c’est ici l’essentiel du problème d’ailleurs bien visible via Shodan et autres.

votre avatar

Aïe, l’IoT, la sécurité, les mots de passe/protocoles faibles, un combo habituel.



Ça me fait repenser à ce commitstrip



J’avais déjà entendu parler de gens qui faisaient n’importe quoi avec Docker en laissant de côté la sécurité sans trop avoir creusé la question., ça semble se confirme malheureusement

votre avatar

ah… le FUD de Crowdstrike. :roll:



Pour ceux qui ont lu le rapport, l’augmentation des malware sur linux est due à l’attaque des hyperviseurs ESXi. Une fois l’hyperviseur compromis, les attaquants ont accès à tous les hosts… y compris donc aux hosts sous linux. voila, voila…

votre avatar

Tu parles de quel rapport ?

votre avatar

tpeg5stan a dit:


Aïe, l’IoT, la sécurité, les mots de passe/protocoles faibles, un combo habituel.


Sauf qu’au lot habituel de bricoles réseau non maintenues/configurées, s’ajoute désormais de plus en plus souvent la nécessité de leur ouvrir son LAN afin de pouvoir les utiliser: C’est la mode du périphérique local pas cher ayant tous ses services un peu évolués dans le cloud et se passant de toute passerelle locale qui assurait ce rôle (en plus de continuer à fonctionner en cas de panne FAI) mais qui nécessitait un peu d’implication de l’utilisateur.



J’appelles cela la DD (prononcer Dédé): Domotique Débilophone.



Un Cul-R-Code et hop, n’importe quel gland “digital native, born to be slave” n’ayant jamais vraiment appris ce qu’est un ordinateur y arrive, rejoignant paradoxalement Mme Michu dans son EPHAD niveau compétences.



Et au final des tétrachiées d’équipements plus maintenus au bout de 6 mois, comme avant, mais devant être ouverts sur un monde hostile pour fonctionner! Forcément, les problèmes explosent…

votre avatar

deathscythe0666 a dit:


Je sais que c’est de l’ironie, mais on sait bien que sur les systèmes de merdouilles IoT à deux balles totalement inutiles donc indispensables, on trouve souvent du Linux et que c’est toujours packagé à la truelle et assorti de code aussi troué qu’une termitière, donc rien d’étonnant à ce qui arrive aujourd’hui.


Ben c’est la dictature du time-to-market + prix + facilité d’utilisation + renouvellement rapide qui amène à ça aussi.
Pour moi il n’y a que peu de solution hormis l’obligation de mise à dispo du code source et de la manière de flasher les objets IOT après la fin du support - ce qui est en soi quelque chose aussi de dangereux car bien des gens ne mettrons pas à jour (bon, beaucoup auront aussi cessé d’utiliser le produit, et ceux qui le récupéreront mettront peut-être à jour…)

votre avatar

La mise à dispo des codes source ne changerait pas grand chose, vu la myriade de merdes IOT jetables sur le marché il n’y aurait au mieux qu’une infime partie dont le support serait repris par une communauté, et pas dit non plus vu le public visé par ces machins beaucoup fassent les mises à jour (à compter que le fabricant ai prévu cette possibilité, et que ça ne soit pas très loin au delà de la compréhension de la quasi totalité des non geeks)



Au final pour ces “trucs” l’obsolescence programmée serait limite une bonne chose, une fois terminée la période de support le bidule se bloque et devient non fonctionnel et bon à jeter, problème de sécurité réglé :transpi:

votre avatar

Perso ce que j’aimerais savoir, c’est le nombre qui visent spécifiquement les IoT de ceux qui visent les linux desktop/server.



Logiquement je pense que ce sont les premiers les plus visé par ces malware (car plus vulnérable du a l’écrasante majorité n’étant que très peu voir jamais mis a jour).

votre avatar

faites comme moi,
utilisez openBSD
avec WindowMaker ;)

votre avatar

Hugues1337 a dit:


Tu parles de quel rapport ?


Crowdstrike en parlait déjà dans son rapport de fevrier-2021.
Sophos a confirmé les choses dans son rapport de novembre-2021.



Une petite recherche sur “RansomEXX” et “ESXi” montre la popularité en 2021 :)

votre avatar

J’entends bien mais sur les liens de la news je vois rien concernant ESXi. Donc je pige pas.



Ouch.

votre avatar

Guinnness a dit:


La mise à dispo des codes source ne changerait pas grand chose, vu la myriade de merdes IOT jetables sur le marché il n’y aurait au mieux qu’une infime partie dont le support serait repris par une communauté, et pas dit non plus vu le public visé par ces machins beaucoup fassent les mises à jour (à compter que le fabricant ai prévu cette possibilité, et que ça ne soit pas très loin au delà de la compréhension de la quasi totalité des non geeks)



Au final pour ces “trucs” l’obsolescence programmée serait limite une bonne chose, une fois terminée la période de support le bidule se bloque et devient non fonctionnel et bon à jeter, problème de sécurité réglé :transpi:


nos deux méthodes sont pas incompatible…

votre avatar

fred42 a dit:


Prendre un vendeur de solutions de sécurité pour Linux comme source d’information sans signaler ce fait, c’est quand-même très limite !


Pluzun, il est évident qu’ils vont prêcher pour leur paroisse donc une source aussi orientée devrait être explicitement signalée par l’article..

votre avatar

Finalement vous êtes bien confiant.



Looking at just one source of potential kernel security flaws, the syzkaller dashboard shows the number of open bugs is currently approaching 900 and growing by about 100 a year, even with about 400 a year being fixed.



Google peut vous ramener vers la triste réalité de ce beau monde où chacun défend sa distribution



Lisez ce blog de Google kernel done right :windu:

votre avatar

Google a besoin d’aide, le mot de la fin fait réfléchir…



Don’t wait another minute
If you’re not using the latest kernel, you don’t have the most recently added security defenses (including bug fixes). In the face of newly discovered flaws, this leaves systems less secure than they could have been. Even when mediated by careful system design, proper threat modeling, and other standard security practices, the magnitude of risk grows quickly over time, leaving vendors to do the calculus of determining how old a kernel they can tolerate exposing users to. Unless the answer is “just abandon our users,” engineering resources must be focused upstream on closing the gap by continuously deploying the latest kernel release.



Based on our most conservative estimates, the Linux kernel and its toolchains are currently underinvested by at least 100 engineers, so it’s up to everyone to bring their developer talent together upstream. This is the only solution that will ensure a balance of security at reasonable long-term cost.

votre avatar

darkjack a dit:


Oui comme sous Mac OS, les virus ne touchent que Windows :troll: Plus sérieusement, mes utilisateurs Mac OS et Linux qu me disent “mais on craint rien avec mon Linux ou mon Mac”, me gonflent.


Ben c’est vrai. Déjà il y a 5 ans ou 10 ans (et plus) certains disaient “Linux n’est pas plus sûr à utiliser”, eh bien en 2022 c’est toujours le cas. La probabilité d’avoir un problème avec un PC sous Linux est extrêmement faible.



Peu importe que ce soit lié ou pas au fait que Linux n’est pas majoritaire, l’intelligence (ou la rationalité) voudrait qu’on n’utilise pas Windows ; Mac au minimum, et probablement Linux encore mieux.

votre avatar

Le sens de mon post était qu’aucun système n’a été, n’est et ne sera infaillible; que les utilisateurs non informaticiens m’affirment que leur OS est invulnérable au malware, ça me gonfle.
Certes, un poste utilisateur sous Linux a peu de chance de se faire attaquer : je dis bien attaquer, pas défoncer, un poste sous Linux, ben il est comme les autres OS, avec des vulnérabilités qui sont découvertes au fur et fur sur que le temps passe. Le seul truc c’est que les vulnérabilités linux, les pirates s’intéressent pour le moment aux serveurs, pas aux postes clients. Passe tous les pc de l’administration, des grandes boites et des hôpitaux en Linux, et on verra si des malware n’apparaissent pas sur les postes clients. Linux Mac ou win restera toujours le PFH (Putain de Facteur Humain).
En attendant sur mon réseau WIN /Mac / Linux de 400 pc, j’ai extrêmement rarement un virus, même sur les Windows. Et depuis 2 ans, je ne crois pas avoir eu autre chose que des adware (sur Mac et Win)



Voir au dessus.
Bien sur qu’une serveur exhange ça passe son temps à se faire attaquer :)
Et par exemple un service sous Linux comme Apache, non? bisous Log4Shell :)
Les serveurs web au boulot sont tous sous Linux et sont attaqués ultra régulièrement.

votre avatar

Jazzmaniac a dit:


Google a besoin d’aide, le mot de la fin fait réfléchir…



Don’t wait another minute If you’re not using the latest kernel, you don’t have the most recently added security defenses (including bug fixes). In the face of newly discovered flaws, this leaves systems less secure than they could have been. Even when mediated by careful system design, proper threat modeling, and other standard security practices, the magnitude of risk grows quickly over time, leaving vendors to do the calculus of determining how old a kernel they can tolerate exposing users to.


En pratique, c’est pas tellement le kernel qui a des failles exploitables, ce sont plutôt les applications, et les codes/applications qui tournent en serveur Web.

votre avatar

OlivierJ a dit:



Peu importe que ce soit lié ou pas au fait que Linux n’est pas majoritaire, l’intelligence (ou la rationalité) voudrait qu’on n’utilise pas Windows


Je dirais plutôt que l’intelligence voudrait qu’on n’ait pas un niveau de privilèges supérieur à ce qui est requis pour la tâche demandée.
Il y a eu à ce sujet des progrès considérables dans le monde MS pour le particulier, il me semble. Sous 95 ou 98, tout le monde était admin.
Une popup te disant qu’un programme veut modifier des paramètres système, c’est peut-être insuffisant, mais c’est déjà ça. Sous Android (distribution Linux), j’installe toutes les merdes disponibles sans plus de précautions que la liste des autorisations demandées à accepter. J’ai comme envie de dire match nul. En insistant bien sur nul.

votre avatar

darkjack a dit:


Passe tous les pc de l’administration, des grandes boites et des hôpitaux en Linux, et on verra si des malware n’apparaissent pas sur les postes clients


Ben rien qu’avec la Gendarmerie on peut avoir une idée. Et à mon avis ils sont assez tranquilles.




Cumbalero a dit:


Je dirais plutôt que l’intelligence voudrait qu’on n’ait pas un niveau de privilèges supérieur à ce qui est requis pour la tâche demandée. Il y a eu à ce sujet des progrès considérables dans le monde MS pour le particulier, il me semble. Sous 95 ou 98, tout le monde était admin.


Ben depuis cette époque, les OS de Microsoft restent quand même très vulnérables.
Et les effets secondaires même quand on n’est pas sous Windows, c’est par exemple le RSSI qui veut qu’on soumette à un antivirus un backup de PDF produit par une application sous Linux :censored:
C’est même plus fort que ça et c’est en ce moment là où je bosse, le RSSI veut qu’on passe par un poste Windows avec un antivirus pour un backup chiffré de PDF, le contexte étant qu’on bascule une prod de datacenter.




J’ai comme envie de dire match nul. En insistant bien sur nul.


Carrément pas d’accord.
Je parie mon PEL que jamais mon PC Linux ne sera compromis. Pour info j’ai même activé le NAT de tous les ports possibles sur ma box vers ce PC (tout le temps allumé, j’aime pouvoir y accéder). J’ai ouvert tous les ports sur la box car je ne veux pas être emmerdé si je lance un programme en écoute non locale.



La PME que je connais qui est entièrement sous Linux dort sur ses 2 oreilles aussi.

votre avatar

darkjack a dit:


Bien sur qu’une serveur exhange ça passe son temps à se faire attaquer :)
Et par exemple un service sous Linux comme Apache, non? bisous Log4Shell :)
Les serveurs web au boulot sont tous sous Linux et sont attaqués ultra régulièrement.


Je n’ai pas un server exchange, c’est juste mon PC fixe qui fait tourner un apache pour mes bidouilles locales et sur lequel j’ai ouvert un port et un vhost public pour quelques bricoles.
Bref c’est des parcs de PC zombis qui scannent tout sans même se rendre compte que si apache répond, il y’a peu de chance que la faille exchange fonctionne sur ce port :-o



Concernant log4j je ne suis pas du tout concerné ! Apache, n’est pas Apache Tomcat ! D’ailleurs ça doit bien faire 10ans que cette daube de Java est désinstallée. ;)



Ça fait 20ans que je suis sous linux, je me suis fait hacké une unique fois : par brut force de mon mot de passe root sur SSH (il faut être motivé quand même, l’attaque a pris des années depuis un botnet venant de pleins d’IP différentes). je m’en suis rendu compte quand internet c’est mis à rammer et que ma freebox v4 s’est transformée en guirlande de Noël. J’ai simplement coupé SSH, changer de mot de passe et ai bloqué désactivé l’accès par mot de passe sur root de SSH (Facteur humain : ce n’est pas par défaut, je l’avais changé sans jamais le remette ni fermer le nat du port 22 :-) ).

votre avatar

Cumbalero a dit:


Je dirais plutôt que l’intelligence voudrait qu’on n’ait pas un niveau de privilèges supérieur à ce qui est requis pour la tâche demandée. Il y a eu à ce sujet des progrès considérables dans le monde MS pour le particulier, il me semble. Sous 95 ou 98, tout le monde était admin. Une popup te disant qu’un programme veut modifier des paramètres système, c’est peut-être insuffisant, mais c’est déjà ça. Sous Android (distribution Linux), j’installe toutes les merdes disponibles sans plus de précautions que la liste des autorisations demandées à accepter. J’ai comme envie de dire match nul. En insistant bien sur nul.


Là tu compares un OS desktop avec un OS smartphone.

votre avatar

Je dis que c’est pas le fait d’utiliser un noyau plutôt qu’un autre qui met à l’abri des bêtises, comme donner beaucoup de privilèges à l’utilisateur.

votre avatar

OlivierJ a dit:



c’est par exemple le RSSI qui veut qu’on soumette à un antivirus un backup de PDF produit par une application sous Linux


Crache pas dans la soupe ! Une partie de mon activité en ce moment, c’est intégrer un antivirus à une image de postes clients sous Suse qui n’ont aucun accès à Internet :non:




Carrément pas d’accord. Je parie mon PEL que jamais mon PC Linux ne sera compromis.


TON PC. Mais le PC oublié dans un coin d’une archi d’une appli qui ne fait jamais parler d’elle… notamment parce qu’on a une confiance excessive dans le fait que ce PC n’est pas le maillon faible, je miserais pas mon slip. Et c’est pas des vulns comme log4j qui rassurent.

votre avatar

Cumbalero a dit:


Crache pas dans la soupe ! Une partie de mon activité en ce moment, c’est intégrer un antivirus à une image de postes clients sous Suse qui n’ont aucun accès à Internet :non:


Si c’est clamaAVt que tu intègres, j’espère qu’il y a beaucoup de mémoire sur le PC. Je l’ai désactivé après m’être rendu compte qu’il était responsable de plantages à cause de sa conso mémoire. En plus, je l’avais mis plus pour le fun que par utilité.

+ 35 % de malwares Linux en 2021

Fermer