Les logiciels malveillants Linux furtifs et multifonctionnels qui infectent les entreprises de télécommunications sont passés largement inaperçus pendant deux ans jusqu’à ce qu’ils soient documentés pour la première fois par des chercheurs jeudi.
Des chercheurs de la société de sécurité Group-IB ont baptisé le cheval de Troie d’accès à distance « Krasue », d’après un esprit nocturne représenté dans le folklore d’Asie du Sud-Est « flottant dans les airs, sans torse, juste ses intestins suspendus sous son menton ». Les chercheurs ont choisi ce nom car les preuves disponibles à ce jour montrent qu’il cible presque exclusivement des victimes en Thaïlande et « pose un risque grave pour les systèmes critiques et les données sensibles étant donné qu’il est capable d’accorder aux attaquants un accès à distance au réseau ciblé.
Selon les chercheurs :
- Krasue est un cheval de Troie d’accès à distance Linux actif depuis 20 et ciblant principalement les organisations en Thaïlande.
- Group-IB peut confirmer que les entreprises de télécommunications ont été ciblées par Krasue.
- Le malware contient plusieurs rootkits intégrés pour prendre en charge différentes versions du noyau Linux.
- Le rootkit de Krasue est tiré de sources publiques (3 rootkits open source du module de noyau Linux), comme c’est le cas avec de nombreux rootkits Linux.
- Le rootkit peut intercepter l’appel système `kill()`, les fonctions liées au réseau et les opérations de liste de fichiers afin de masquer ses activités et d’échapper à la détection.
- Notamment, Krasue utilise des messages RTSP (Real-Time Streaming Protocol) pour servir de « ping vivant » déguisé, une tactique rarement vue dans la nature.
- Ce malware Linux, supposent les chercheurs du Group-IB, est déployé au cours des dernières étapes d’une chaîne d’attaque afin de maintenir l’accès à un hôte victime.
- Krasue est susceptible d’être déployé dans le cadre d’un botnet ou vendu par des courtiers d’accès initial à d’autres cybercriminels.
- Les chercheurs du Group-IB pensent que Krasue a été créé par le même auteur que le cheval de Troie Linux XorDdos, documenté par Microsoft dans un article de blog de mars 2022, ou par quelqu’un qui avait accès au code source de ce dernier.
Lors de la phase d’initialisation, le rootkit dissimule sa propre présence. Il procède ensuite à l’accrochage du `tuer()` syscall, les fonctions liées au réseau et les opérations de liste de fichiers, obscurcissant ainsi ses activités et échappant à la détection.
Les chercheurs n’ont jusqu’à présent pas pu déterminer précisément comment Krasue est installé. Les vecteurs d’infection possibles incluent l’exploitation de vulnérabilités, les attaques de vol d’informations d’identification ou de devinette, ou l’installation involontaire d’un cheval de Troie caché dans un fichier d’installation ou une mise à jour se faisant passer pour un logiciel légitime.
Les trois packages rootkit open source intégrés à Krasue sont :
Groupe-IB
Les rootkits sont un type de malware qui cache des répertoires, des fichiers, des processus et d’autres preuves de sa présence sur le système d’exploitation sur lequel il est installé. En accrochant des processus Linux légitimes, le malware est capable de les suspendre à certains moments et d’intervenir sur des fonctions qui dissimulent sa présence. Plus précisément, il masque les fichiers et répertoires commençant par les noms « auwd » et « vmware_helper » dans les listes de répertoires et masque les ports 52695 et 52699, où se produisent les communications avec les serveurs contrôlés par les attaquants. L’interception de l’appel système kill() permet également au cheval de Troie de survivre aux commandes Linux qui tentent d’abandonner le programme et de l’arrêter.