Jusqu’ici les APT ont souvent visé des réseaux Windows et Active Directory. Mais selon une étude de Kaspersky la multiplication des machines Linux, notamment dans le cloud et dans les infrastructures Kubernetes, fait de ce système la nouvelle cible prioritaire des hackers.

Linux a toujours été une cible des hackers et cyberattaquants. Webshells, rootkits, et autres malwares sont légion dans cet univers même si les entreprises sont souvent focalisées sur leurs failles Windows et les menaces visant les systèmes de Microsoft.

Selon Kaspersky, des groupes spécialisés dans les attaques ATP (Advanced Persistent Threats) ciblent désormais très activement les workstations et serveurs sous Linux. « Au cours des huit dernières années, plus d’une douzaine d’acteurs APT ont été observés utilisant des logiciels malveillants Linux ou certains modules basés sur Linux » explique Yury Namestnikov, directeur du GreAT (Kaspersky’s Global Research and Analysis Team). « Il s’agit de groupes aussi tristement célèbres que Barium, Sofacy, The Lamberts et Equation, ainsi que de campagnes plus récentes comme LightSpy par TwoSail Junk et WellMess. La diversification de leur arsenal d’outils Linux permet aujourd’hui à ces acteurs de mener des opérations plus efficacement et avec une portée plus large.   Il y a une tendance significative dans de nombreux pays à utiliser Linux comme environnement de bureau par les grandes entreprises, ainsi que dans les entités gouvernementales, ce qui pousse les cyberattaquants à développer davantage d’outils malveillants pour cette plate-forme ».

Kaspersky invite les DSI, RSSI et administrateurs à renforcer leurs sécurités Linux et les encourage à adopter au plus vite quelques bonnes pratiques :

* Maintenir une liste de sources logicielles fiables et éviter d’utiliser des canaux de mise à jour non chiffrés ;
* Ne plus lancer de scripts et binaires depuis des sources non certifiées en évitant de lancer des commandes comme “curl https://install-url | sudo bash” ;
* Renforcer les pare-feux en renforçant les logs sur les activités réseau et en bloquant tous les ports non utilisés ;
* Utiliser une authentification SSH basée sur des clés, pratiquer la double authentification, et utiliser des périphériques comme Yubikey pour stocker les clés sensibles ;
* S’assurer régulièrement l’intégrité des fichiers exécutables du système et examiner les modifications apportées aux fichiers de configuration ;
* Pratiquer des tests d’infiltration (PenTests) sous Linux ;
* Installer les protections adéquates sur les systèmes Linux comme les entreprises ont pris l’habitude de le faire sur leurs machines Windows.

Le message est clair… Les machines Linux méritent la même vigilance que les machines Windows. C’est une évidence mais il n’est jamais inutile de le rappeler.


Source : Penguin caught in the crosshairs