RotaJakiro : une backdoor ciblant Linux non détectée depuis trois ans

Le par Jérôme G.  |  10 commentaire(s)
securite

Encore bien mystérieux, un cheval de Troie de type backdoor pour Linux a récemment été découvert après une activité passée inaperçue durant au moins trois ans.

Des chercheurs du Network Security Research Lab de la société de cybersécurité chinoise Qihoo 360 rapportent la découverte d'un cheval de Troie pour Linux actif depuis au moins trois ans, sans avoir éveillé auparavant la détection d'un service comme VirusTotal avec sa pléiade de moteurs antivirus.

Baptisé RotaJakiro, le malware est présenté comme une backdoor prenant pour cible les systèmes Linux 64 bits. Au moment de l'exécution, il détermine si des comptes sont root ou non afin d'adapter son comportement.

La communication avec des serveurs de commande et contrôle se fait via le port TCP 443 normalement attribué au trafic HTTPS, mais les chercheurs soulignent que ce n'est pas du trafic TLS/SSL. RotaJakiro utilise le chiffrement AES, le codage XOR et de rotation, la bibliothèque logicielle de compression de données zlib.

porte

Le flou demeure pour RotaJakiro

Une douzaine de fonctions sont prises en charge par RotaJakiro, dont certaines en rapport avec l'exécution de plugins. Toutefois, les chercheurs en sécurité soulignent n'avoir aucune visibilité sur les plugins et sont dans l'ignorance concernant leur véritable objectif.

Ils regroupent les fonctions selon quatre catégories : transmission d'informations relatives à un appareil, vol d'informations sensibles, gestion de plugins, exécution d'un plugin spécifique.

Pour RotaJakiro, il pourrait exister un lien avec le botnet Torii pour l'IoT (Internet des objets) qui avait été identifié par Avast en 2018. À l'époque, ce botnet était considéré comme une menace plus sophistiquée que le célèbre Mirai.

" De nombreuses questions restent sans réponse. Comment RotaJakiro s'est-il répandu, et quel était son but ? ", écrivent les chercheurs du Netlab de Qihoo 360 en sollicitant des pistes de la communauté de la cybersécurité.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Yves6 offline Hors ligne Vétéran icone 2461 points
Le #2129945
Pas besoin d'antivirus sous Linux,c'était le troll au début de Linux.
paulhenri offline Hors ligne Vétéran icone 1892 points
Le #2129948
Ce sera vite corrigé s'il y a une faille.

C'est la rapidité qui fait la différence entre GNU/Linux et les autres OS.
skynet away Absent VIP icone 88137 points
Le #2129954
Tous les OS ont des failles, c'est ainsi. C'est tellement complexe, les OS sont tellement volumineux maintenant qu'il est impossible de sortir un OS sans faille.

Maintenant ce qu'il est important c'est de savoir si c'est corrigé rapidement, si ça a pu faire des dégâts importants, comment l'éviter la prochaine fois, comment c'est géré par l'éditeur, est-ce qu'il y a eu transparence sur le problème ....
Padrys offline Hors ligne Vénéré icone 4274 points
Le #2129957
Le problème c'est qu'on ne peut pas tout maîtriser, j'ai un serveur Proxmox (base Debian donc) et des VMs Archlinux et AlpineLinux.

Ceux-là ont des màj sérieuses, mais qu'en est-il de ma station de régulation de chauffage (linux pas à jour) et de ma Freebox (des firmwares, ok, mais quand on détaille le contenu, ça fait peur) ?

Bref des failles par paquets et sans maîtrise.
skynet away Absent VIP icone 88137 points
Le #2129966
Padrys a écrit :

Le problème c'est qu'on ne peut pas tout maîtriser, j'ai un serveur Proxmox (base Debian donc) et des VMs Archlinux et AlpineLinux.

Ceux-là ont des màj sérieuses, mais qu'en est-il de ma station de régulation de chauffage (linux pas à jour) et de ma Freebox (des firmwares, ok, mais quand on détaille le contenu, ça fait peur) ?

Bref des failles par paquets et sans maîtrise.


Et vraiment partout ! Les imprimantes réseaux, les objets connectés, les smart TV etc ...
J'ai commencé à mettre des Vlan chez moi mais vu la multiplication de ce que j'ajoute sur mon réseau c'est peine perdue (et je suis pas millionnaire, je vais pas acheter un switch administrable à chaque fois).
Padrys offline Hors ligne Vénéré icone 4274 points
Le #2129971
skynet a écrit :

Padrys a écrit :

Le problème c'est qu'on ne peut pas tout maîtriser, j'ai un serveur Proxmox (base Debian donc) et des VMs Archlinux et AlpineLinux.

Ceux-là ont des màj sérieuses, mais qu'en est-il de ma station de régulation de chauffage (linux pas à jour) et de ma Freebox (des firmwares, ok, mais quand on détaille le contenu, ça fait peur) ?

Bref des failles par paquets et sans maîtrise.


Et vraiment partout ! Les imprimantes réseaux, les objets connectés, les smart TV etc ...
J'ai commencé à mettre des Vlan chez moi mais vu la multiplication de ce que j'ajoute sur mon réseau c'est peine perdue (et je suis pas millionnaire, je vais pas acheter un switch administrable à chaque fois).


Surtout que ce virus passe par le tcp 443 (https), et avec des données compressées et chiffrées, donc pas beaucoup de solution.
Il faudrait imposer aux constructeurs de faire des màj de sécurité, même à minima, sans ajout de fonctionnalité.
skynet away Absent VIP icone 88137 points
Le #2129973
Padrys a écrit :

skynet a écrit :

Padrys a écrit :

Le problème c'est qu'on ne peut pas tout maîtriser, j'ai un serveur Proxmox (base Debian donc) et des VMs Archlinux et AlpineLinux.

Ceux-là ont des màj sérieuses, mais qu'en est-il de ma station de régulation de chauffage (linux pas à jour) et de ma Freebox (des firmwares, ok, mais quand on détaille le contenu, ça fait peur) ?

Bref des failles par paquets et sans maîtrise.


Et vraiment partout ! Les imprimantes réseaux, les objets connectés, les smart TV etc ...
J'ai commencé à mettre des Vlan chez moi mais vu la multiplication de ce que j'ajoute sur mon réseau c'est peine perdue (et je suis pas millionnaire, je vais pas acheter un switch administrable à chaque fois).


Surtout que ce virus passe par le tcp 443 (https), et avec des données compressées et chiffrées, donc pas beaucoup de solution.
Il faudrait imposer aux constructeurs de faire des màj de sécurité, même à minima, sans ajout de fonctionnalité.


Oui, tout le monde est touché, et en effet même sur le 443

https://www.cachem.fr/qnap-qlocker/
LinuxUser offline Hors ligne VIP icone 17490 points
Le #2130031
skynet a écrit :

Padrys a écrit :

Le problème c'est qu'on ne peut pas tout maîtriser, j'ai un serveur Proxmox (base Debian donc) et des VMs Archlinux et AlpineLinux.

Ceux-là ont des màj sérieuses, mais qu'en est-il de ma station de régulation de chauffage (linux pas à jour) et de ma Freebox (des firmwares, ok, mais quand on détaille le contenu, ça fait peur) ?

Bref des failles par paquets et sans maîtrise.


Et vraiment partout ! Les imprimantes réseaux, les objets connectés, les smart TV etc ...
J'ai commencé à mettre des Vlan chez moi mais vu la multiplication de ce que j'ajoute sur mon réseau c'est peine perdue (et je suis pas millionnaire, je vais pas acheter un switch administrable à chaque fois).


Si tu restes sur les dépôts officiel, tu n'as pas grand chose a craindre.
Si tu installes tout et n'importe quoi et que tu n'as pas une "hygiène" IT basique, bah le risque est la, il est similaire à Windows ou de fait tu dois installer plein de truc en dehors de ce qui est fourni par l'éditeur.

C'est ta phrase qui est le troll bien connu, on la voit dès qu'on a un article sur un virus Linux.

Rien que le fait qu'il existe des antivirus sous Linux montre qu'il peut y avoir un besoin, même si le risque est moindre.

Il y a plusieurs raisons au fait que les virus soit peu répandus:
- peu rentable étant donné la base installée (mais cet argument peut être contredit étant donné que la majorité des serveurs tournent sous Linux, en fait ça dépend de ce que le pirate cherche, si c'est de la puissance de calcul ou de la bande passante, Linux est très intéressant, plus que Windows même)
- difficulté d’accéder au compte root
- fichiers non exécutables par défaut
- possibilité d'avoir des partitions entières sans droit d'exécution
- etc etc...

Mais si tu mets a pas a jour et que tu gardes des failles grandes ouvertes sur un serveur connecté au net, forcément tu vas prendre cher, comme avec tous les OS.

Par acquis de conscience, je check:

# find . -type f | egrep '/bin/systemd/systemd-daemon|/usr/lib/systemd/systemd-daemon|/.dbus/sessions/session-dbus|/.gvfsd/.profile/gvfsd-helper'
#

$ ls -l /usr/lib32/.X11/X*
ls: impossible d'accéder à '/usr/lib32/.X11/X*': Aucun fichier ou dossier de ce type
$

$ ls -l /home/$USERNAME/.X11/X*
ls: impossible d'accéder à '/home/[CENSURE]/.X11/X*': Aucun fichier ou dossier de ce type
$

Rien a signaler.

Pour sortir du troll de notre ami Yves et partir sur quelque-chose de plus constructif, il serait intéressant que l'on puisse en savoir plus sur le vecteur d'infection.

EDIT: j'aime les "-" sans aucun argument, je les considère comme des "++"
skynet away Absent VIP icone 88137 points
Le #2130041
LinuxUser a écrit :

skynet a écrit :

Padrys a écrit :

Le problème c'est qu'on ne peut pas tout maîtriser, j'ai un serveur Proxmox (base Debian donc) et des VMs Archlinux et AlpineLinux.

Ceux-là ont des màj sérieuses, mais qu'en est-il de ma station de régulation de chauffage (linux pas à jour) et de ma Freebox (des firmwares, ok, mais quand on détaille le contenu, ça fait peur) ?

Bref des failles par paquets et sans maîtrise.


Et vraiment partout ! Les imprimantes réseaux, les objets connectés, les smart TV etc ...
J'ai commencé à mettre des Vlan chez moi mais vu la multiplication de ce que j'ajoute sur mon réseau c'est peine perdue (et je suis pas millionnaire, je vais pas acheter un switch administrable à chaque fois).


Si tu restes sur les dépôts officiel, tu n'as pas grand chose a craindre.
Si tu installes tout et n'importe quoi et que tu n'as pas une "hygiène" IT basique, bah le risque est la, il est similaire à Windows ou de fait tu dois installer plein de truc en dehors de ce qui est fourni par l'éditeur.

C'est ta phrase qui est le troll bien connu, on la voit dès qu'on a un article sur un virus Linux.

Rien que le fait qu'il existe des antivirus sous Linux montre qu'il peut y avoir un besoin, même si le risque est moindre.

Il y a plusieurs raison au fait que les virus soit peu répandus:
- peu rentable étant donné la base installée (mais cet argument peut être contredit étant donné que la majorité des serveurs tournent sous Linux, en fait ça dépend de ce que le pirate cherche, si c'est de la puissance de calcul ou de la bande passante, Linux est très intéressant, plus que Windows même)
- difficulté d’accéder au compte root
- fichiers non exécutables par défaut

Mais si tu mets a pas a jour et que tu gardes des failles grandes ouvertes sur un serveur connecté au net, forcément tu vas prendre cher, comme avec tous les OS.

Par acquis de conscience, je check:

# find . -type f | egrep '/bin/systemd/systemd-daemon|/usr/lib/systemd/systemd-daemon|/.dbus/sessions/session-dbus|/.gvfsd/.profile/gvfsd-helper'
#

$ ls -l /usr/lib32/.X11/X*
ls: impossible d'accéder à '/usr/lib32/.X11/X*': Aucun fichier ou dossier de ce type
$

$ ls -l /home/$USERNAME/.X11/X*
ls: impossible d'accéder à '/home/[CENSURE]/.X11/X*': Aucun fichier ou dossier de ce type
$

Rien a signaler.

Pour sortir du troll de notre ami Yves et partir sur quelque-chose de plus constructif, il serait intéressant que l'on puisse en savoir plus sur le vecteur d'infection.


Je suis en train de faire du ménage, comme par exemple créer un user avec droits limités pour mes nouveaux dockers, j'ai de la double auth presque partout sauf sur des comptes qui ont peu de portée, etc ....

C'est un vrai boulot à plein temps.
LinuxUser offline Hors ligne VIP icone 17490 points
Le #2130127
skynet a écrit :

LinuxUser a écrit :

skynet a écrit :

Padrys a écrit :

Le problème c'est qu'on ne peut pas tout maîtriser, j'ai un serveur Proxmox (base Debian donc) et des VMs Archlinux et AlpineLinux.

Ceux-là ont des màj sérieuses, mais qu'en est-il de ma station de régulation de chauffage (linux pas à jour) et de ma Freebox (des firmwares, ok, mais quand on détaille le contenu, ça fait peur) ?

Bref des failles par paquets et sans maîtrise.


Et vraiment partout ! Les imprimantes réseaux, les objets connectés, les smart TV etc ...
J'ai commencé à mettre des Vlan chez moi mais vu la multiplication de ce que j'ajoute sur mon réseau c'est peine perdue (et je suis pas millionnaire, je vais pas acheter un switch administrable à chaque fois).


Si tu restes sur les dépôts officiel, tu n'as pas grand chose a craindre.
Si tu installes tout et n'importe quoi et que tu n'as pas une "hygiène" IT basique, bah le risque est la, il est similaire à Windows ou de fait tu dois installer plein de truc en dehors de ce qui est fourni par l'éditeur.

C'est ta phrase qui est le troll bien connu, on la voit dès qu'on a un article sur un virus Linux.

Rien que le fait qu'il existe des antivirus sous Linux montre qu'il peut y avoir un besoin, même si le risque est moindre.

Il y a plusieurs raison au fait que les virus soit peu répandus:
- peu rentable étant donné la base installée (mais cet argument peut être contredit étant donné que la majorité des serveurs tournent sous Linux, en fait ça dépend de ce que le pirate cherche, si c'est de la puissance de calcul ou de la bande passante, Linux est très intéressant, plus que Windows même)
- difficulté d’accéder au compte root
- fichiers non exécutables par défaut

Mais si tu mets a pas a jour et que tu gardes des failles grandes ouvertes sur un serveur connecté au net, forcément tu vas prendre cher, comme avec tous les OS.

Par acquis de conscience, je check:

# find . -type f | egrep '/bin/systemd/systemd-daemon|/usr/lib/systemd/systemd-daemon|/.dbus/sessions/session-dbus|/.gvfsd/.profile/gvfsd-helper'
#

$ ls -l /usr/lib32/.X11/X*
ls: impossible d'accéder à '/usr/lib32/.X11/X*': Aucun fichier ou dossier de ce type
$

$ ls -l /home/$USERNAME/.X11/X*
ls: impossible d'accéder à '/home/[CENSURE]/.X11/X*': Aucun fichier ou dossier de ce type
$

Rien a signaler.

Pour sortir du troll de notre ami Yves et partir sur quelque-chose de plus constructif, il serait intéressant que l'on puisse en savoir plus sur le vecteur d'infection.


Je suis en train de faire du ménage, comme par exemple créer un user avec droits limités pour mes nouveaux dockers, j'ai de la double auth presque partout sauf sur des comptes qui ont peu de portée, etc ....

C'est un vrai boulot à plein temps.


C'est clair que la sécu... quand on commence a mettre un pied dedans...
Bon courage !
icone Suivre les commentaires
Poster un commentaire