Publication d’une alerte de logiciels malveillants visant les serveurs Linux
Les menaces ciblant les systèmes informatiques sont de plus en plus fréquentes. Dernièrement encore, les serveurs Linux ont été victimes d’intrusions externes. Après les investigations, le but des attaques menées a été d’introduire frauduleusement des logiciels malveillants cachant un dispositif de minage clandestin. Suite à la découverte du bogue, l’alerte a été donnée à tous les utilisateurs du système d’exploitation.
En effet, le groupe de pirates informatiques derrière cette intrusion sévit depuis début 2017 et se nomme 8220. L’un des exploits réalisés par ce club de personnes mal intentionnées a été l’invention de la dangereuse cryptomonnaie monero. Aujourd’hui, le groupe de pirates est de retour avec des approches encore plus redoutables.
Chen Doytshman, chercheur en sécurité chez Akamai Technologies, a été l’un des experts ayant travaillé sur le bogue détecté. Par ailleurs, Microsoft Security Intelligence a également contribué aux diagnostics de sécurité.
Les pirates informatiques de plus en plus ingénieux
Le fameux programme malveillant mis au point par les assaillants se nomme whatMiner. En effet, en 2019, le groupe de pirates avait déjà commis un exploit inattendu en utilisant des rootkits pour cacher son programme minier.
Aujourd’hui, le gang a refait surface avec des variantes de botnet IRC Tsunami et un mineur PwnRig personnalisé. Leur cible est principalement les systèmes Linux i686 et x86_64, plus précisément les serveurs Atlassian Confluence (CVE-2022-26134) et Oracle WebLogic (CVE-2019-2725).
En outre, ces prouesses sont réalisées par la création d’une large gamme de logiciels pirates à partir d’un serveur éloigné chargé de radier le mineur PwnRig, puis un bot IRC. Enfin, le chargeur du programme malveillant utilise l’outil de scanner de port IP, puis le système de force brute SSH axé sur GoLang spirit afin de s’infiltrer.
« Les pirates ont efficacement revu leurs techniques et leur arsenal au cours de la dernière année. »
Microsoft Security Intelligence
Un rythme d’attaque soutenu et des secteurs d’activité spécifiques visés
Avec le temps, le nombre de tentatives d’intrusion est passé de 20 000 à 100 000 fois par jour en utilisant 6 000 adresses IP environ. Les experts en sécurité réseau ont également noté que des secteurs d’activités bien définies ont été pris pour cible par les attaques. Il s’agit de la branche du commerce, de la haute technologie et des services financiers.
« Le fait inquiétant pour l’heure est l’ampleur du changement vers le haut que ce type d’attaque a suscité au cours des dernières semaines. »
Chen Doytshman, chercheur en sécurité chez Akamai Technologies
SOURCE : THEHACKERNEWS
