Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Linux infecté par une variante de Turla
Un malware sophistiqué utilisé depuis des années pour espionner 45 États

Le , par Hinault Romaric, Responsable .NET
Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux d’une famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.

Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.

En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé qu’il s’agissait de l’une des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus d’une centaine d’ordinateurs Windows dans ces pays. Le malware figure au même rang que Regin, un cheval de Troie hautement complexe qui avait été découvert en novembre dernier par Symantec.

Il a été construit sur les bases de Agents.btz, un ver qui s’était introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de l’armée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l’ US Cyber Command.

Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant l’OS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.

Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par l’éditeur G-Data, qui se basait sur l’analyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.

La découverte d’une variante sous Linux montre que ses capacités ont été sous-estimées. « L’échantillon de Turla nouvellement découvert est inhabituel du fait que c’est le premier échantillon que nous avons trouvé qui cible les systèmes d’exploitation Linux », a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Nous soupçonnons que cette composante est en cours d’exécution depuis des années. »

Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer

Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.

Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré d’informations sous forme de symboles qui complexifient les opérations de « reverse engineering ».

La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.

Source : Kaspersky

Et vous ?

Que pensez-vous du malware Turla ?

Serai-t-on en plein dans une cyberguerre ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 09/12/2014 à 22:15
Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

Décidément, tout fout le camps dans ce monde décadent !!!
Avatar de Escapetiger Escapetiger - Membre expert http://www.developpez.com
le 09/12/2014 à 23:36
Citation Envoyé par Hinault Romaric  Voir le message
Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.

La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire qu’Internet serait en train de se transformer en un champ de bataille informatique.

Que pensez-vous du malware Turla ?

Serai-t-on en plein dans une cyberguerre ?

Citation Envoyé par sevyc64  Voir le message
Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

Au delà de l'humour de sevyc64 plutôt mal perçu à chaud, le malware en question (virus ?) est une "solution" de plus pour établir son pouvoir technologique, que ce soit m$soft ou linux.

Pas d'avis technique sur Turla, place aux chercheurs du monde entier qui s'y connaissent.

La cyberguerre a déjà commencé aux yeux du plus grand nombre (enfin surtout les technophiles, techno-compréhensifs,etc...) depuis des articles récurrents et vérifiables dans leurs conséquences, Stuxnet pour les centrales nucléaires iraniennes par exemple.

Une des questions qui me vient à l'esprit, là, maintenant :
Est-ce que nos gouvernements ont bien pris conscience de ces menaces ? et qu'à force d'avoir une logique strictement financière, ne sont-ils pas en train de creuser notre tombe .. et la leur (et ceux de leurs "obligés", de leurs "commanditaires" ) ?
M'est avis que les bouquins de Science-Fiction du passé (parfois considérés comme "ringard", plus pour la forme que pour le fond) vont devenir sous peu des livres de philosophie, de sociologie de facto.
Avatar de VBrice VBrice - Membre habitué http://www.developpez.com
le 10/12/2014 à 0:04
@sevyc64
Effectivement, il y a des fanboys partout! Des fanboys qui prétendent la perfection de leur chouchou sans objectivité (ou parce qu'il l'on entendu...), et qui malheureusement "stérilise" trop de sujet/conversation.
Il ne sont pas majoritaire, mais on les voie trop souvent! ; )
Décidément, tout fout le camps dans ce monde décadent !!!

On va bientôt regretter le temps de windows95, ou les virus se contentés d'afficher 10.000 fenêtre ou de saturé un disque dur inutile

@Escapetiger:
Est-ce que nos gouvernements ont bien pris conscience de ces menaces ?

Il ne le montre pas en tous cas.

Un firewall applicatif pourrait-il contrer ce genre de menace sous linux? Ne serait-ce pas une sécurité supplémentaire?
(Même si on à confiance au logiciel qu'on installe, on est pas à l'abri de fail, de remote code exécution...)
Avatar de rupteur rupteur - Membre actif http://www.developpez.com
le 10/12/2014 à 7:10
même s'il n'en a pas besoin, sait-on s'il arrive à élever ses privilèges ?

(pour rappel ce n'est pas le premier et certainement pas le dernier. en mars 2014 il y a eu wendigo)
Avatar de imikado imikado - Rédacteur http://www.developpez.com
le 10/12/2014 à 7:48
Citation Envoyé par sevyc64  Voir le message
Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture

En lisant
Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques

Je continue de me sentir à l'abris sur un Os que j'utilise depuis près de dix ans sans antivirus ni incidents à deplorer (contrairement à ma femme, mon père sous windows sur la même période)

Plusieurs choses:
1. GNU/linux "desktop" est plutot épargné pas ce type de logiciel du fait de sa faible part de marché

2. Pour Windows, cela devrait s'empirer avec W10 (et son unification) permettant aux hacheurs avec le même "virus/malware" de cibler a la fois les smartphones, tablettes,Xbox et PC

3. Perso, comme beaucoup de linuxiens, j'ai d'abord connu,acheté et utilisé windows avant de le quitter pour mac puis GNU/linux

C'est un choix que je ne regrette pas. Utilisant comme beaucoup windows au travail, je continue de le voir evoluer et possedant les dvd windows (fourni par dell), je pourrais r- switcher si je considerais windows comme sécurisé ou si il m'apportait quelque-chose qui me manquerait à la maison

Je n'ai pas de tatouage du manchot, ni d'action chez cannonical

C'est un choix personnel de préférer désinstaller l'os pré installé sur mes ordinateurs pour y installer un Os que je trouve plus sécurisé et avec une interface et des outils plus confortable et de plus gratuit
C'est pas une secte linux
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 10/12/2014 à 9:42
Mais pourquoi vous vous embêtez à répondre à la petite phrase trollesque de sevyc64? lol

Que pensez-vous du malware Turla ?

Une cyberarme de plus démasquée, on prend conscience que la guerre change réellement de terrain, et on s'attriste de voir l'hypocrisie des états. On se demande si la paix, relative, entre les états n'est du qu'à la dissuasion nucléaire et non à une vrai volonté de pacification. Car à la moindre possibilité de faire un coup en douce, ils s'y engouffrent, et l'informatique (et notamment internet) leur à donner un nouveau terrain de jeu. Hypocrisie encore plus grande quand on voit la volonté de contrôler le net, alors qu'eux même ne s'imposent aucun contrôle.
Avatar de Saverok Saverok - Expert éminent http://www.developpez.com
le 10/12/2014 à 10:19
Citation Envoyé par Hinault Romaric  Voir le message
Serai-t-on en plein dans une cyberguerre ?

Je pense que la question ne se pose plus
La question qui se pose désormais est de savoir à partir de quel moment une attaque virtuelle va justifier une déclaration de guerre "officielle" qui débouchera sur une guerre IRL ?
Avatar de Conaclos Conaclos - Nouveau membre du Club http://www.developpez.com
le 10/12/2014 à 13:28
Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

Tous système est corruptible, d'une manière ou d'une autre...
De plus Linux n'est pas un noyau dont la priorité est la sécurité... si tel était le cas il intégrerait depuis longtemps une majorité de propositions faites par SELinux...
Avatar de temoanatini temoanatini - Membre averti http://www.developpez.com
le 10/12/2014 à 13:33
Sait-on depuis quand le malware est dans Linux ?

On nous dit qu'il doit être exécuté depuis des années mais combien ?

L'aspect ouvert ne permet-il pas de faire ce genre de recherches ?

Quid de la qualité de relecture du code ? Plusieurs personnes ont dû passer dessus sans se rendre compte de quoi il s'agissait... je comprends bien que c'est de la "haute voltige" en terme de programmation et que c'est très sophistiqué. Je ne sais pas comment mais de toutes façons je ne comprendrais certainement pas le quart du huitième...

Ma question est plutôt la suivante : que se passe-t-il lorsque des personnes tombent sur ce code ? Elles le lisent, ne savent pas ce que ça fait et donc on passe à autre chose ?

Ne faut-il pas justifier l'insersion de code dans Linux d'une manière quelconque ?

pas de troll ici c'est juste pour comprendre comment "on" est passé au travers
Avatar de Agrajag Agrajag - Membre actif http://www.developpez.com
le 10/12/2014 à 13:51
@temoanatini :
Est-ce qu'un Etat, en passant par divers contributeurs intermédiaires, peut avoir la possibilité de faire des pull request sur certains projets ?

@sevyc64 :
Ca reste assez ponctuel pour pouvoir continuer à en faire des news quand ça arrive.
Et pendant ce temps là sous windows ...

-> Serai-t-on en plein dans une cyberguerre ?
On peut dire ça, sauf qu'on utilise toujours les armes que nos adversaires nous mettent à disposition.
De la même manière qu'on se moque des mouvements non-gouvernementaux rebelles qui s'approvisionnent en arme via la Russie ou les USA, on pourrait songer à rire de nos cyber-batailles où l'on se sert d'armes piégées dont le code est parfaitement inconsultable, et qui risque plus de nous nuire que de nous être utile dans cette confrontation : OS étranger (Apple, Microsoft) Plateformes étrangères (BDD Oracle, Java RE), Consoles Etrangères (Microsoft, Sony, Nintendo), Machine et smartphones Etrangers (Dell, Samsung, Microsoft, Nokia), Editeurs de jeux sur ces plateformes (dont très peu sont Français), et Editeurs de logiciels.
De plus, la plupart de ces "acteurs" proviennent d'un seul et même Pays.

Et c'est pas avec Mageia (quoique, c'est un début... saluons l'initiative) qu'on va s'en sortir !
Offres d'emploi IT
Administrateur système et réseaux Unix/Linux H/F
Agence de Lille - Nord Pas-de-Calais - LILLE 59000)
Chef de projet .NET/ VB
Netino - Ile de France - Paris (75001)
Dba sql mongodb H/F
Adequat Tertiaire - Rhône Alpes - Saint-Priest (69800)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil