FontOnLake : un virus discret et sophistiqué attaque les systèmes sous Linux

11 octobre 2021 à 11h10
10
malware virus © Pixabay

Les chercheurs d'ESET ont décrit le fonctionnement d'un virus qu'ils ont surnommé « FontOnLake » et qui cible les systèmes sous Linux.

Il est présent dans des commandes Linux populaires modifiées, qui lui servent à installer des backdoors, et acquiert de cette façon une forme de persistance sur le système qu'il infecte.

Un malware persistant

Les chercheurs d'ESET ont annoncé avoir trouvé un nouveau malware appelé « FontOnLake ». Présent depuis au moins mai 2020, d'après les échantillons uploadés sur VirusTotal, il se distingue par sa capacité à conserver une persistance sur le système infecté et par la sophistication de sa conception.

Son installation se fait grâce à des versions modifiées et trojanisées de commandes Linux populaires, normalement présentes dans le package coreutils ou souvent installées par défaut sur certains systèmes, mais la manière dont elles sont distribuées aux victimes n'est pas encore claire. Parmi ces commandes, on retrouve cat, kill, sftp et sshd, souvent lancées au démarrage du système et qui permettent au malware d'être persistant. Elles lui servent également pour installer des backdoors personnalisées et des rootkits.

Une fois le malware présent sur le système, il utilise les backdoors installées pour récupérer des identifiants et l'historique Bash et les envoyer à son serveur commande et contrôle (C&C). Les rootkits quant à eux sont utilisés pour permettre au malware de cacher son existence et ses activités sur le système de la victime.

Un malware repéré par d'autres entreprises

Les chercheurs soupçonnent que FontOnLake est utilisé pour des attaques ciblées, ayant finalement été peu repéré en masse. Ses créateurs sont également prudents : des serveurs C&C différents sont utilisés dans chacun des échantillons présents sur VirusTotal et ont depuis été désactivés. Les analyses semblent indiquer que le virus est surtout présent en Asie du Sud-Est. Certains des échantillons montrent que Debian et CentOS font partie des distributions visées.

Enfin, notons que la découverte de ce logiciel malveillant n'est peut-être pas si nouvelle que ça. D'après ESET, le malware décrit par Avast, Tencent et Lacework Labs fin août, appelé HCRootkit, serait le même que celui trouvé par les chercheurs de l'entreprise.

Les antivirus sont des outils devenus indispensables pour naviguer de façon sécurisée. Par bonheur, il existe de nombreux antivirus gratuits tout à fait performants : il n'est donc pas nécessaire de mettre la main au portefeuille pour être bien équipé. Mais alors, lequel choisir ? Dans cet article, nous vous proposons de découvrir ce qui se fait de mieux actuellement sur le marché.
Lire la suite

Modifié le 11/10/2021 à 11h10
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
11
Shinpachi
Fake : tout le monde sait qu’il n’y a pas de virus sur Mac et sur Linux
Blap
C’est marrant car ce n’est pas un virus, d’ailleurs les sources ne parlent jamais de virus. Il n’y a que Clubic qui l’a fait (par erreur).<br /> De plus quasiment personne n’a jamais dit ca ou alors c’était stupide, ce qui était dit est que c’est beaucoup plus difficile sur ces systèmes (Android n’avait par exemple toujours pas de virus repertorié la derniere fois que j’avais regardé)
Bombing_Basta
Contribution remarquable…<br /> Sinon pour l’auteur de la news, quid du mode d’installation, de la manière de s’en protéger, de la remontée de l’info et des éventuels patchs de sécurité ?
Francis7
netstat -lapute<br /> dans un premier temps.
Jissou06
On se demande bien comment ce virus peut s’installer sur la machine (et rester persistant…)<br /> sachant qu‘une différence essentielle entre un utilisateur Linux et un utilisateur Windows est qu’un utilisateur Linux n‘est jamais loggué en root (administrateur) lorsqu‘il utilise son PC …au contraire de 99% des utilisateurs qui sont administrateur par défaut !
raymondp
oui, et que les paquets installés sur une distribution linux sont fournis par la distribution, et leur intégrité est contrôlée à l’installation par un checksum dont le résultat est fourni par des fichiers de clé chiffrés.<br /> Pour installer un virus, il faut vraiment le vouloir !<br /> A tel point que pour passer les audit de sécurité, comme les auditeurs veulent à tout prix un antivirus sur les serveurs, les admin linux installent Clamav, un anti-virus pour linux qui donc ne sert à rien, et une fois l’audit passé, ils le désinstallent !
Palou
Jissou06:<br /> …au contraire de 99% des utilisateurs qui sont administrateur par défaut !<br /> 99%, rien que ça … et c’est pour ça alors que certaines opérations pas courantes demandent que les gens passent en mode Administrateur ?
TNZ
La différence majeure est que sous GNU/Linux, l’utilisateur «administrateur» n’a que le droit sudo et il est tenu de passer par le mot de passe (ou par le sudoers). Il s’agit d’un compte normal 99% du temps.<br /> Côté Windows, le compte utilisateur a les droits en permanence, la différence est que le système identifie les besoins de droits et pose la question à chaque fois. Hors, on a déjà vu des malwares trouver une parade pour contourner cette confirmation d’utilisation des droits et les utiliser directement.<br /> Bref,<br /> Linux : compte normal à qui on donne les accès root<br /> Windows : compte avec privilèges où l’usage de ceux-ci est sous surveillance pour confirmation<br /> 2 philosophies, 2 ensembles de problèmes
NumLOCK
Hmm, il doit y avoir tellement de gens qui remplacent leur coreutils (signé numériquement et intégré à la distribution) par des versions louches qu’ils sont allé pêcher sur des forums ukrainiens <br /> Non sérieusement, je n’ai pas encore saisi le scénario d’infection là
promeneur001
Arrêtons cette guéguerre Windows-Linux à propos de la sécurité.<br /> Pourquoi dit-on depuis la naissance de Linux début années 90 (on en est à Windows 3.11) que Linux est beaucoup plus sûr ?<br /> L’apparition des virus date des années 80 sur nos PC. Je me souviens on était sous DOS.<br /> Quand Linux est conçu ce danger est connu. C’est pourquoi le système Linux dès sa conception intègre le problème de la sécurité. Linux intègre les technologies de défense d’un anti-virus, anti-pirate, etc, au sein même de son cœur. Les faiblesses de ce cœur sont constamment corrigées.<br /> Windows 3.11 à la même époque n’intègre aucune technologie de défense. Il faudra attendre Windows 2000 pour avoir un pare-feu, des ACL etc. !<br /> Dès le départ, il est très couteux de s’attaquer à Linux contrairement à Windows.<br /> Qu’en est-il de Windows aujourd’hui ? Depuis le début MS développe son OS en rajoutant des couches à un OS déjà existant comme IBM en son temps. Ce faisant le dernier OS hérite des faiblesses et des bugs non corrigés de ses ascendants. On accumule les faiblesses et les bugs.<br /> Souvenons-nous des plantages de Windows 3.11 seulement atténués avec Windows 95.<br /> Ma connaissance de Windows s’arrête à Windows 2000 (je suis à la retraite). Depuis est-ce que MS a créé un nouveau cœur en partant de zéro et intégrant les technologies de défense ce qui le mettrait au même niveau de sécurité que Linux ?
Jissou06
Ce n‘est pas une gué-guerre c‘est un fait<br /> En dehors du monde de l‘entreprise (ou le PC est securisé/restreint) 99% des utilisateurs Windows sont admin<br /> Avec Linux personne n‘est admin en graphique
raymondp
C’est exact, ce sont des faits.<br /> Là où commence la gué-guerre, c’est quand les pro-windows disent que windows marche mieux et / ou est aussi sécurisé que linux, ce qui n’est juste pas possible, car linux a utilisé dés le début les mêmes bases qu’Unix, un système des années 70 qui était déjà mieux conçu que windows, sorti 20 ans après, et depuis linux n’a fait que s’améliorer, alors que windows a mis rustine sur rustine pour combler les trous béants et les erreurs de conception.<br /> Là où Windows se défend, c’est sur l’ergonomie, pour ceux qui aiment, mais pour le reste…<br /> D’où franchement la news sur laquelle je suis vraiment dubitatif
Voir tous les messages sur le forum

Lectures liées

La DDR5 jusqu'à 60 % plus chère que la DDR4
L'excellent Lenovo Ideapad 3 chute à un prix digne du Black Friday chez Darty !
Apple : le GPU du M1 Max est 3 fois plus rapide que celui du M1, bench à l'appui !
Pénurie : même le prix du Raspberry Pi 4 augmente !
Chromebook, Vivobook, Zenbook : Asus casse les prix sur les PC portables chez Amazon
L'iMac 2022 aurait le droit à quelques améliorations, dont un écran Mini-LED
Apple : le M1 Max pourrait faire (presque) aussi bien qu'une RTX 3080 mobile
À 2249€, le MacBook Pro ne dispose pas de la charge rapide... à moins d'acheter le chargeur 20€ plus cher
Vous avez un vieux MacBook sans encoche ? Il y a une application pour ça
Acer s’est fait voler des données pour la deuxième fois et par le même groupe de hackers
Haut de page