L’un des bienfaits les plus remarquables de l’informatique, surtout après l’avènement de l’algorithmie cognitive pour l’inférence synthétique et sa démocratisation en marche, est de proposer un accès universel aux connaissances. Malheureusement, cette universalité s’accompagne de plusieurs questions importantes sur les vulnérabilités liées à la sécurité et la confidentialité des données. Ceci est d’autant plus vrai que le périmètre de jadis s’est atomisé sous l’effet de la prolifération des appareils connectés, de la mobilité et des applications distribuées. De ce point de vue, Linux fait figure de totem à abattre par les cybercriminels, car il est largement plus répandu que ses concurrents à faible empreinte logicielle.
Le « Global Threat Report 2023 » est un compte rendu sur les tendances des menaces en 2023 compilé par Elastic Security Labs. Il met notamment en exergue la diversification et le développement rapide des ransomwares. Parmi les autres grandes tendances identifiées par le Global Threat Report, plus de la moitié des infections de malwares observées concernaient des systèmes Linux, tandis que les techniques de compromissions des accès sont devenues un élément essentiel des tentatives d’intrusion des systèmes d’information basés dans le cloud. Ces constats reposent sur les observations de plus d’un milliard de données télémétriques au cours des douze derniers mois. Les observations communiquées dans ce rapport se fondent sur des données tierces anonymisées, mises à disposition par leurs propriétaires.
Les attaques sur les appareils et IoT sous Linux s’envolent
Parmi les tendances observées, les événements de signature sur Linux continuent à augmenter et sont passés de 54,5 % l’année dernière à 91,2 % cette année sur l’ensemble des données télémétriques de signature. Pour rappel, les événements de signature sont générés lorsqu’un comportement suspect est détecté sur un point terminal, tels que l’exécution d’un fichier malveillant ou la tentative d’accès à un système sans autorisation. « Notre visibilité sur les infections de malware basées sur Linux [l’OS généraliste, NDLR] peut s’en retrouver influencée, affirment les rédacteurs du rapport. Les chercheurs du laboratoire d’Elastic estiment que ces infections ont augmenté d’environ 59,8 % ».Selon le rapport, l’augmentation constatée s’explique davantage par la démocratisation des infrastructures basée sur Linux que par une quelconque priorisation des menaces sur ce système d’exploitation. En somme, la prolifération des appareils connectés sous Linux signifie pour les pirates la multiplication des points d’entrée pour les cyberattaques. Chaque utilisateur qui accède au système peut potentiellement devenir un vecteur d’attaque si ces dispositifs ne sont pas correctement sécurisés.
Un petit nombre de maliciels responsables d’un grand nombre d’attaques
Autre tendance, la majorité des maliciels observés par Elastic Security Labs sont composés d’un petit nombre de familles bien connues, telles que Gafgyt, Frp, différents outils ransomware-as-a-service (RaaS), Meterpreter et BlackCat. Ces familles représentent plus d’un tiers des échantillons de malwares fournis aux points de terminaison.Par ailleurs, les utilisateurs mal intentionnés se reposent de plus en plus sur les communautés open source pour les implants, les outils et les infrastructures. Ils tirent parti de projets open source tel que OneDriveAPI, SharpShares et Sliver pour mener à bien leurs activités malveillantes. OneDriveAPI est une bibliothèque open source qui permet aux développeurs d’intégrer la fonctionnalité de stockage dans le cloud de OneDrive dans leurs applications. Les malfaiteurs peuvent l’utiliser pour stocker des fichiers malveillants et les partager avec d’autres pirates.
SharpShares est un outil open source qui permet aux utilisateurs malveillants de rechercher des partages de fichiers sur un réseau et de les exploiter pour accéder à des fichiers sensibles. Quant à Sliver, c’est un implant de post-exploitation open source qui permet aux utilisateurs malveillants de prendre le contrôle d’un système compromis. Il peut être utilisé pour exécuter des commandes à distance, voler des informations sensibles et installer d’autres malwares sur le système compromis.
Le scripting et le Shell de Windows pour perturber les opérations
Parmi les comportements suspects les plus préoccupants des points terminaux, selon le rapport, les interférences avec le Script Interpreter Child Process et le Command Shell Execution et Inhibit System Recovery du Shell de Windows se situent en haut de la liste.Les premiers représentent environ 24 % des comportements récurrents des points de terminaison dans la catégorie Exécution. Il indique une tendance des utilisateurs malveillants à manipuler les interpréteurs de script Windows pour exécuter du code malveillant. Les seconds montrent que le shell de commande Windows est utilisé de manière anormale, notamment dans le but de perturber la récupération du système lors de l’exécution. Cela souligne les tentatives des acteurs malveillants de perturber les opérations de récupération du système pour rester maîtres de la situation.
Ces comportements mettent en évidence les tactiques sophistiquées utilisées par les acteurs malveillants pour compromettre les points de terminaison, soulignant ainsi la nécessité de solutions multicouches pour renforcer la surveillance et la protection des systèmes d’exploitation.