Un nouveau malware s’en prend à vos serveurs Linux et vos périphériques IoT
Le malware Gitpaste-12 a de nombreuses façons différentes de se propager auprès des victimes potentielles, et pourrait être la première étape d’une campagne de piratage en plusieurs étapes.
Une nouvelle forme de malware vise les serveurs Linux et l’internet des objets et leur ajout à un botnet dans ce qui semble être la première étape d’une campagne de piratage ciblant l’infrastructure informatique en cloud, bien que l’objectif des attaques reste flou.
Découvert par les chercheurs en cybersécurité de Juniper Threat Labs, ce malware a été baptisé Gitpaste-12, en référence à la manière dont il utilise GitHub et Pastebin pour héberger le code des composants et dispose de 12 moyens différents pour compromettre les serveurs x86 basés sur Linux, ainsi que les dispositifs IoT basés sur Linux ARM et MIPS.
Il s’agit notamment de 11 vulnérabilités connues dans des technologies telles que les routeurs Asus, Huawei et Netlink, ainsi que les routeurs MongoDB et Apache Struts, et de la capacité à compromettre les systèmes en utilisant des attaques par force brute pour craquer les noms d’utilisateur et les mots de passe par défaut ou courants.
Désactivation des défenses
Après avoir utilisé l’une de ces vulnérabilités pour compromettre le système, Gitpaste-12 télécharge des scripts de Pastebin afin de fournir des commandes avant de télécharger également d’autres instructions d’un dépositaire GitHub. Le logiciel malveillant vise à désactiver les défenses, notamment les pare-feu et les logiciels de surveillance qui, autrement, réagiraient aux activités malveillantes.
Gitpaste-12 contient également des commandes permettant de désactiver les services de sécurité dans le cloud des principaux fournisseurs d’infrastructures chinois, dont Alibaba Cloud et Tencent, ce qui indique que le botnet pourrait être la première étape d’une vaste opération en plusieurs étapes menée par des attaquants, bien que l’objectif final de cette opération reste inconnu.
Cependant, le malware a actuellement la capacité d’exécuter le cryptomining, ce qui signifie que les attaquants peuvent abuser de la puissance de calcul de tout système compromis pour exploiter la cryptomonnaie Monero.
Agir sur les mots de passe des dispositifs IoT
Le botnet a également la capacité de fonctionner comme un ver informatique qui utilise des machines compromises pour lancer des scripts contre d’autres appareils vulnérables sur le même réseau ou sur des réseaux connectés afin de répliquer et de diffuser le logiciel malveillant. « Il n’est pas bon d’avoir un malware, mais les vers sont particulièrement ennuyeux. Leur capacité à se propager de manière automatisée peut conduire à une propagation latérale au sein d’une organisation ou à la tentative de vos hôtes d’infecter d’autres réseaux sur internet », écrivent les chercheurs dans un article de blog.
L’URL de Pastebin et le dépôt GitHub utilisé pour fournir des instructions au malware ont tous deux été fermés après avoir été signalés par les chercheurs, ce qui devrait arrêter la prolifération du botnet pour l’instant. Cependant, les chercheurs notent également que Gitpaste-12 est en cours de développement, ce qui signifie qu’il y a un risque qu’il revienne.
Cependant, il est possible de contribuer à la protection contre Gitpaste-12 en coupant la principale voie de propagation en appliquant les correctifs de sécurité qui ferment les vulnérabilités connues qu’il exploite. Les utilisateurs doivent également éviter d’utiliser des mots de passe par défaut pour les dispositifs IoT, car cela permet de se protéger contre les attaques par force brute qui reposent sur l’exploitation d’identifiants par défaut et autres mots de passe courants.
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram