Selon les chercheurs en sécurité de Kaspersky, les hackers se concentrent de plus en plus sur l’attaque des serveurs et des stations de travail Linux.
Alors que les systèmes Windows ont toujours été dans la ligne de mire des attaquants, les menaces persistantes avancées (APT) sont maintenant un problème sérieux dans le monde Linux. Les systèmes Linux sont spécifiquement visés par une sélection de plus en plus large d’outils malveillants.
Bien qu’il soit loin d’être inconnu que des logiciels malveillants pour Linux soient repérés – et il y a eu de nombreux exemples notables tels que TwoSail Junk, Sofacy et Equation – Kaspersky souligne que malgré l’impression largement répandue que les systèmes Linux sont rarement ou jamais ciblés, il existe en fait de nombreux webhells, backdoors et rootkits conçus spécialement pour Linux.
Un exemple récent est une version mise à jour de la backdoor Penguin_x64 Linux du groupe russe Turla. Le groupe coréen Lazarus a également augmenté son arsenal de logiciels malveillants pour Linux, dont divers outils utilisés pour l’espionnage et les attaques financières.
Yury Namestnikov, le chef de l’équipe de recherche et d’analyse globale (GReAT) de Kaspersky en Russie, déclare :
« La tendance à l’amélioration des outils APT a été identifiée par nos experts à de nombreuses reprises dans le passé, et les outils axés sur Linux ne font pas exception. Pour sécuriser leurs systèmes, les services informatiques et de sécurité utilisent Linux plus souvent qu’auparavant. Les acteurs de la menace réagissent à cette évolution en créant des outils sophistiqués capables de pénétrer ces systèmes. Nous conseillons aux experts en cybersécurité de tenir compte de cette tendance et de mettre en œuvre des mesures supplémentaires pour protéger leurs serveurs et leurs postes de travail. »
La société de sécurité partage les détails d’un certain nombre de mesures qui peuvent être prises pour aider à protéger les systèmes Linux des APT :
Maintenir une liste de sources de logiciels fiables et éviter d’utiliser des canaux de mise à jour non cryptés
- N’exécutez pas de binaires et de scripts provenant de sources non fiables. Les moyens largement annoncés pour installer des programmes avec des commandes comme « curl https://install-url | sudo bash » posent un vrai problème en matière de sécurité
- Assurez-vous que votre procédure de mise à jour est efficace et mettez en place des mises à jour de sécurité automatiques
- Prenez le temps de configurer correctement votre pare-feu : assurez-vous qu’il enregistre l’activité du réseau, bloquez tous les ports que vous n’utilisez pas et réduisez votre empreinte sur le réseau
- Utilisez l’authentification SSH basée sur les clés et protéger les clés par des mots de passe
- Utilisez la 2FA (authentification à deux facteurs) et stocker les clés sensibles sur des dispositifs à jeton externes (par exemple Yubikey)
- Utilisez une prise réseau hors bande pour surveiller et analyser de manière indépendante les communications réseau de vos systèmes Linux
- Maintenez l’intégrité du fichier exécutable du système et revoir régulièrement les modifications du fichier de configuration
- Soyez prêt à faire face à des attaques physiques ou d’initiés : utilisez le cryptage intégral du disque, des amorces sûres et fiables et placez des bandes de sécurité inviolables sur votre matériel critique.
- Auditez le système et vérifier les journaux pour détecter des indicateurs d’attaque
- Effectuez des tests de pénétration sur votre installation Linux
- Utilisez une solution de sécurité dédiée avec protection Linux, telle que la sécurité intégrée des points d’extrémité. Cette solution offre une protection du web et du réseau pour détecter le phishing, les sites web malveillants et les attaques de réseau, ainsi qu’un contrôle des appareils, permettant aux utilisateurs de définir des règles pour le transfert de données vers d’autres appareils
- Kaspersky Hybrid Cloud Security permet la protection des DevOps, permettant l’intégration de la sécurité dans les plateformes et les conteneurs de CI/CD, et le balayage des images contre les attaques de la chaîne d’approvisionnement
Source : Kaspersky
Leave a Comment