Pawn Storm, force tranquille de l’infection des systèmes Linux

Le groupe de cyberpirates russes Pawn Storm poursuit l’infection des systèmes Linux en se servant d’un cheval de Troie à l’architecture modulaire. Bien que ce dernier ne puisse pas permettre de prendre le contrôle des postes sur lesquels il s’installe, il permet toutefois de voler des données sensibles au nez et à la barbe des entreprises sans que les éditeurs de sécurité semblent beaucoup se préoccuper de la situation.

Le groupe de cyberpirates russes Pawn Storm tisse sa toile depuis près d’une dizaine d’années. Ciblant les gouvernements, forces de sécurité mais également les institutions comme l’Otan ainsi que les dissidents politiques de tous bords, ce groupe (également connu sous les pseudonymes APT28, Storm Gage…) avait fait parler de lui en décembre après avoir étendu ses outils d’infection. Et aujourd’hui, c’est en infectant les systèmes Linux qu’il revient sur le devant de la scène.

AdTech AdUtilisant un simple – mais efficace – cheval de Troie (trojan) baptisé Fysbis, Pawn Storm parvient ainsi à s’introduire sur ces systèmes, d’après les chercheurs en sécurité de Palo Alto Networks. Et grâce à l’architecture modulaire de ce malware, les pirates peuvent étendre ses fonctionnalités en fonction des besoins en lui greffant des extensions poussées sur les systèmes cibles de leurs victimes. « Fysbis peut s’installer sur un système avec ou sans privilèges racine », ont d’ailleurs précisé les chercheurs de Palo Alto dans un blog. « Cela accroît les possibilités disponibles pour sélectionner les comptes sur lesquels ils vont s’installer. »

Des éditeurs de sécurité regardant passer le train de l’infection

En tant qu’outil de cyberesionnage, Fysbis est avant tout conçu pour voler des données. Même s’il ne permet pas de prendre le contrôle d’une machine, il peut donc subtiliser des documents et des données sensibles auxquels l’utilisateur a accès, ou encore espionner sa navigation notamment. Dans la plupart des environnements d’entreprises où Windows prédomine, la détection d’un malware Linux peut être plus difficile en raison du manque de visibilité et d’expertise sur ce type de menaces. Un comportement qui peut malheureusement expliquer pourquoi de nombreux groupes de pirates ont ajouté les trojans Linux à leur arsenal d’outils malveillants, indépendamment du fait que leur motivation était liée à l’espionnage ou à la cybercriminalité traditionnelle. A cela s’ajoute le manque d’investissement des éditeurs de sécurité à s’activer pour lutter contre ce type de menaces : le jeu de l’investissement n’en vaudrait-il pas la chandelle de l’éradication ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *