Un rootkit Linux se cache derrière le Pokémon Umbreon

Les Pokémon se glissent parfois là où on ne les attend pas. Et désormais au sein des programmes informatiques malveillants. Un groupe de cybercriminels, actif sur le Dark web depuis 2013 au moins, a baptisé son rootkit du nom d’un des célèbres personnages animaliers aux pouvoirs surnaturels. Mais en beaucoup moins sympathique. C’est du moins ce que révèle la dernière trouvaille de Trend Micro.

Les chercheurs en sécurité de l’éditeur ont mis la main (sans pokeball) sur Umbreon (du nom d’un Pokémon qui se cache dans la nuit), un rootkit qui vise les plates-formes Linux sous architectures x86 et ARM. Le développement de la bestiole remonte à début 2015. Et si elle s’installe manuellement sur un poste de travail (potentiellement à distance si une faille de sécurité en donne l’occasion), un serveur ou appareil avec système embarqué comme un routeur, Umbreon est « très dur à détecter ». Quand bien même il s’exécute dans le mode utilisateur, il entend bien rester invisible aux yeux des administrateurs. Et il est très difficile de s’en défaire.

Un rootkit à 3 cercles

Plus précisément, Umbreon est un « rootkit à 3 cercles » (ou rootkit à trois niveaux), détaille Trend Micro sur son blog. Concrètement, le malware n’installe aucun composant noyau supplémentaire mais vient prendre la place des fonctions propres à la librairie C (libc) utilisée comme interface pour les appels système par les autres programmes, notamment pour lire et écrire des fichiers, activer des processus ou envoyer des données sur le réseau. En remplaçant libc, Umbreon force les exécutables à utiliser ses fonctions propres. Une sorte de « rootkit-du-milieu » système qui peut ainsi altérer les réponses aux demandes des requêtes logicielles.

Qui plus est, le rootkit crée un compte Linux, invisible, accessible par n’importe quelle méthode d’authentification utilisée par l’OS libre (comme SSH). Enfin, Umbreon installe une porte dérobée. Baptisée Espeon, nom inspiré d’un autre Pokémon, cette backdoor « peut être chargée d’établir une connexion à une machine de l’attaquant, fonctionnant comme un shell inversé pour contourner les pare-feux », prévient Trend Micro. Autrement dit, Espeon peut ouvrir à l’attaquant un accès distant à l’interpréteur de commandes de la machine affectée. Ce qui revient quasiment à lui en donner le contrôle.

Umbreon Indétectable par les outils traditionnels

Selon l’éditeur en sécurité, la similitude entre Umbreon et libc empêche les outils traditionnels de détecter le rootkit. Écrits en C, ces outils vont faire appel aux fonctions de l’usurpateur qui se gardera bien de se dénoncer. « Parce qu’Umbreon remplace les fonctions de libc, la création d’un outil fiable pour le Umbreon nécessiterait un outil qui n’utilise pas libc », suggère Trend Micro. Qui propose un ensemble de règles, baptisées Yara, pour pointer la lumière sur Umbreon.

Les distributions Linux devraient rapidement être mises à jour par la communauté pour protéger les utilisateurs de postes de travail et serveurs du nouveau rootkit. Mais les mises à jour des systèmes embarqués sont moins systématiquement appliquées. Ce qui rend les routeurs et autres machines connectées plus vulnérables et en font des cibles idéales pour les cybercriminels. L’Internet des objets (IoT) constitue d’ailleurs un océan d’opportunités en ce sens pour eux. Récemment, l’opérateur Level 3 notait qu’un million d’enregistreurs numériques résidentiels avaient été enrôlés dans des botnets pour lancer des attaques DDoS.

Lire également
FairWare, un ransomware qui supprime les fichiers des serveurs Linux
Le malware Godless prend secrètement la main sur les smartphones Android
Une nouvelle formation dédiée à la sécurité pour les 25 ans de Linux