Salut !
Des chercheurs en sécurité de Symantec ont découvert une porte dérobée dans Linux. Elle permet à un attaquant l'utilisation d'un protocole secret de communication pour dissimuler sa présence dans les systèmes compromis.
Les cyber-escrocs ou cyber-espions à l'origine de l'attaque par ce biais visaient apparemment les informations des clients telles que le nom des utilisateurs, les courriels et les mots de passe en utilisant ce malware subtil et discret.
Le fichier malsain a été utilisé dans une attaque contre un grand fournisseur d'hébergement non précisé en mai dernier. Il habilement tenté d'éviter de déclencher des signaux d'alarme en injectant ses propres communications dans le trafic légitime, surtout le ''chat'' SSH. (*)
En outre, le logiciel malveillant a fait usage de l'algorithme de chiffrement Blowfish pour crypter les paquets de données volées et les autres communications avec un serveur de commandement et de contrôle.
Linux Back Door Uses Covert Communication Protocol (Symantec Security Response .. 13 novembre 2013)
Symantec conclut que le mystérieux malware, qu'il nomme Fokirtor, est différent de toute autre qui attaque Linux par une porte dérobée et insiste sur le fait que de nouvelles techniques d'agression peuvent voir le jour à tout moment.
Les malwares pour les systèmes Linux affectent surtout les serveurs. Vers et chevaux de Troie se comptent par centaines ou peut-être quelques milliers. Ce n'est rien par rapport aux dizaines de millions d'agents pathogènes qui infestent Windows et au million qui existent déjà pour Android mais ce n'est pas une raison pour ne pas protéger sa distribution Linux.
C'est sans doute pour laisser un temps de correction/adaptation à l'équipe de Linux et aux éditeurs de logiciels de protection que l'annonce en grande pompe de ce malware n'a pas été communiquée plus tôt.
@+
[*] Setting up a private, encrypted and authenticated chat server with Ytalk over SSH (Luis E's .. 14 août 2013)