Il est courant d’entendre que Linux serait moins sujet aux attaques que Windows 11 et macOS. Pourtant, cela n’en fait pas un système d’exploitation infaillible. Exemple. Les chercheurs en sécurité de BlackBerry et d’Intezer Lab ont découvert un nouveau malware. Baptisé Symbiote, il s’attaque au système d’exploitation Linux et est décrit comme “presque impossible à détecter”. Selon les chercheurs en sécurité, Symbiote existe depuis au moins novembre 2021. Il aurait été développé pour cibler le secteur financier. Un malware parasite Pour les chercheurs, ce qui différencie Symbiote des autres malwares Linux, “c’est qu’il a besoin d’infecter d’autres processus en cours d’exécution pour infliger des dommages aux machines infectées”. Ainsi, au lieu d’être un fichier exécutable autonome permettant d’infecter une machine, il s’agit d’une bibliothèque d’objets partagés (SO) présente “dans tous les processus en cours d’exécution à l’aide de LD_PRELOAD (T1574.006) et qui infecte la machine de manière parasite”. À noter qu’une bibliothèque d’objets partagés est automatiquement liée à un programme lorsque le système démarre. Elle existe sous la forme d’un fichier autonome. Comme un parasite, cette SO infecte donc l’ordinateur et tous les processus en cours d’exécution. Ensuite, le malware offre au cybercriminel trois fonctionnalités bien spéciales. À savoir, une fonctionnalité de rootkit, une capacité d’accès à distance et la possibilité de récolter des informations d’identification. Un nom révélateur Concrètement, Symbiote infecte tous les processus en cours d’exécution et ouvre au pirate la voie à des fonctionnalités de rootkit ou encore à un accès à distance. Un rootkit est un ensemble de programmes malveillants. Il permet aux pirates d’accéder à un ordinateur ou à un réseau à l’insu de son propriétaire. En clair, difficile à détecter, il est convoité par les pirates, qui s’en servent pour dissimuler leur présence dans un système infecté. Autrement dit, le rootkit leur donne un accès administrateur distant au système d’exploitation et est presque indétectable. Le nom “Symbiote” ne vient pas de nulle part. En biologie, il s’agit d’un organisme vivant en symbiose avec un autre. Autrement dit, il s’agit de chacun des êtres vivants associés dans une symbiose. Cette appellation, bien pensée, rappelle que le logiciel malveillant est quasiment invisible. En effet, “une fois que le logiciel malveillant a infecté une machine, il se cache, ainsi que tout autre logiciel malveillant utilisé par l’acteur de la menace, ce qui rend les infections très difficiles à détecter”. Ainsi, même une analyse poussée d’une machine infectée ne révèle rien. En effet, tous les fichiers, processus et artefacts réseau sont camouflés par le malware. Prendre le contrôle de la machine Mais le rootkit n’est pas le seul cadeau que le malware fait au pirate. Il lui offre aussi une porte dérobée lui permettant “de se connecter en tant que n’importe quel utilisateur sur la machine avec un mot de passe codé en dur, et d’exécuter des commandes avec les privilèges les plus élevés”, indiquent les chercheurs. Autre compétence, Symbiote utilise le filtre Berkeley Packet Filter (BPF), aussi appelé Berkeley-Filter. Cette fonction permet de cacher le trafic malveillant présent sur une machine infectée et de filtrer les paquets de données des réseaux. Et ce, en les intégrant dans le noyau du système d’exploitation. “Lorsqu’un administrateur lance un outil de capture de paquets sur la machine infectée, le bytecode BPF est injecté dans le noyau qui définit les paquets à capturer”, illustre BlackBerry. Le billet ajoute, “dans ce processus, Symbiote ajoute son bytecode en premier afin de pouvoir filtrer le trafic réseau qu’il ne veut pas que le logiciel de capture de paquets voit”. La mission de Symbiote En plus de cacher l’activité malveillante et de fournir un accès à distance à l’acteur de la menace, Symbiote a pour objectif de récolter des informations d’identification. “La collecte d’informations d’identification est effectuée en accrochant la fonction libc read”, explique BlackBerry. Le billet précise, “si un processus ssh ou scp appelle cette fonction, elle capture les informations d’identification”. En clair, dans un premier temps, l’algorithme de chiffrement RC4 crypte les informations d’identification grâce à une clé intégrée. Ensuite, elles sont retranscrites dans un fichier. “Par exemple, une des versions du logiciel malveillant écrit les informations d’identification capturées dans le fichier /usr/include/certbot.h”, illustre BlackBerry. À savoir qu’un SSH ou Secure Shell est un protocole permettant une connexion en toute sécurité à des systèmes distants. Le Secure Copy Protocol (SCP), ou Secure Copy, assure, lui, un transfert sécurisé des données entre un ordinateur local et un ordinateur distant, ou entre deux ordinateurs distants. Pour finir, ce logiciel malveillant aurait pour cible des institutions financières en Amérique latine. “Dans le cadre de nos recherches, nous n’avons pas trouvé suffisamment de preuves pour déterminer si Symbiote est utilisé dans des attaques très ciblées ou de grande envergure”, concluent les scientifiques.