Plague Backdoor
Un malware Linux jusqu'alors inconnu et extrêmement insaisissable, baptisé Plague, a été découvert par des experts en cybersécurité. Bien qu'il soit resté indétectable pendant environ un an, ce backdoor malveillant a démontré un niveau avancé de persistance et de furtivité, permettant aux attaquants d'infiltrer discrètement les systèmes et d'y accéder sans autorisation.
Table des matières
Caché à la vue de tous : utiliser PAM comme arme pour un accès furtif
Plague se fait passer pour un module d'authentification enfichable (PAM) malveillant, un composant essentiel utilisé sous Linux et UNIX pour gérer l'authentification des applications et des services. En s'intégrant à cette infrastructure d'authentification, Plague est capable de :
- Contourner silencieusement les mécanismes d'authentification du système
- Capturer les informations d'identification de l'utilisateur
- Établir un accès SSH persistant sans détection
Étant donné que les modules PAM sont chargés dans des processus privilégiés, une implémentation malveillante comme Plague a la capacité de fonctionner avec des autorisations élevées, échappant souvent aux outils de détection et de surveillance traditionnels.
Invisible et évolutif : non détecté par les moteurs de sécurité
Les chercheurs ont identifié plusieurs échantillons différents de Plague, dont aucun n'a été identifié comme malveillant par les scanners antimalware. La découverte de plusieurs artefacts uniques témoigne d'un développement et d'un perfectionnement continus de la part des acteurs malveillants responsables, suggérant que Plague s'inscrit dans une stratégie offensive à long terme.
L’arsenal de la peste : accès secret et anti-forensique
Plague est équipé d'un ensemble de fonctionnalités avancées qui contribuent à son caractère évasif et à sa capacité à fonctionner sans être détecté :
- Informations d'identification statiques pour permettre un accès secret et répété
- Mécanismes anti-débogage et obscurcissement des chaînes pour empêcher la rétro-ingénierie
Altération de l’environnement pour dissimuler ses traces, notamment :
- Suppression des variables d'environnement liées à SSH (SSH_CONNECTION, SSH_CLIENT)
- Redirection de l'historique du shell (HISTFILE) vers /dev/null pour éliminer les journaux des commandes exécutées
Ces tactiques sont spécifiquement conçues pour supprimer toute preuve médico-légale de la présence d’un attaquant sur le système compromis.
Silent Survivor : Persistance et obscurcissement au cœur de son œuvre
L'intégration de Plague à la pile d'authentification lui permet de survivre aux mises à jour du système et de fonctionner de manière invisible, ce qui en fait une menace exceptionnellement résiliente. Ses techniques d'obfuscation multicouches et la manipulation des variables d'environnement système réduisent considérablement sa visibilité, ce qui en fait un défi de taille pour les mécanismes de détection traditionnels.
Conclusion : une menace dangereuse qui exige la vigilance
La découverte de Plague met en évidence la sophistication croissante des logiciels malveillants ciblant Linux. En s'intégrant aux composants critiques du système et en utilisant des méthodes anti-forensiques astucieuses, il représente un risque important pour les organisations s'appuyant sur l'infrastructure Linux. Une surveillance proactive, des audits réguliers des modules PAM et une détection des anomalies basée sur le comportement sont essentiels pour lutter contre des menaces de cette envergure.
