Developpez.com

Le Club des Développeurs et IT Pro

Linux.Wifatch, le malware qui s'attaque à des routeurs sous Linux

Pour les protéger contre d'autres virus néfastes

Le 2015-10-03 18:29:03, par Malick, Community Manager
Selon Symantec, un malware dénommé Linux.Wifatch est en train d'infecter les routeurs tournant sous Linux, cela afin de leur apporter une protection contre les attaques de virus potentiellement néfastes.

Linux.Wifatch aurait été découvert pour la première fois en 2014 et aurait réussi à infecter plusieurs dizaines de routeurs tournant sous Linux. En effet, c’est grâce à des analyses menées par un chercheur en sécurité que ledit malware a été découvert, cela après avoir remarqué que des choses inhabituelles étaient en train de se passer sur son routeur de maison.

Selon Symantec, la plupart du code de Linux.Wifatch est écrit dans le langage Perl et il cible plusieurs architectures ; c’est la raison pour laquelle son analyse s’est facilement déroulée. À l’issue de son analyse, Symantec affirme avoir découvert plusieurs secrets de Linux.Wifatch dont son mode opératoire pour arriver à ses fins.


Pour Symantec, Linux.Wifatch infecte les routeurs grâce à des connexions Telnet utilisant pour l’essentiel des identifiants faibles. Une fois que le routeur est infecté, une connexion à un réseau peer-to-peer (P2P) est créée ; ce dernier est utilisé pour distribuer des mises à jour de la menace. Symantec affirme avoir surveillé ce réseau P2P durant plusieurs mois sans qu'une quelconque activité malveillante ne soit décelée, en l’occurence celle relative aux attaques DDoS généralement identifiées.

Wifatch non seulement tente d'empêcher davantage l'accès au routeur en tuant le démon Telnet légitime, mais il laisse aussi un message aux propriétaires d'appareils les incitant à changer leur mot de passe et à mettre à jour le firmware.

Symantec souligne que Wifatch dispose d'un module qui tente de faire face à d'autres infections de logiciels malveillants déjà présents sur le dispositif concerné. Certaines des menaces qu’il tente de supprimer sont bien connues parmi les logiciels malveillants ciblant les appareils embarqués.

Les tableaux suivants montrent la répartition des pays touchés par cette infection et les architectures des dispositifs infectés.

Figure 1. Répartition des pays infectés

Figure 2. Répartition des architectures infectées

Source : Symantec

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

le Forum Linux

la Rubrique Linux (Cours, Tutoriels, FAQ, etc.)
  Discussion forum
12 commentaires
  • BufferBob
    Expert éminent
    Envoyé par curt
    Quel est l'impact sur nos box ???
    aucun

    Envoyé par Max Lothaire
    Par contre je comprend pas l’intérêt de faire un malware « gentil ».

    c'est marrant moi c'est l'inverse, autant la démarche me parle complètement, autant se poser la question sur fond de "y'a forcément un vice caché, un but inavoué" ça m'interloque toujours ^^
    sans chercher à me substituer au créateur de ladite bestiole, la démarche me parle parceque -comme je le ressens- :
    • "je l'ai fait parceque je pouvais le faire"
    • parceque c'est utile, tout simplement
    • parcequ'y a là dedans presque une démarche artistique, une façon de bousculer les idées reçues, forcer les esprits à s'ouvrir au pied de biche

    pour le moins ce qu'on peut dire c'est que justement, se contenter de publier l'outil n'aurait pas le même impact, déjà on peut assez facilement supposer que les gens/entreprises dont le routeur a un telnet ouvert avec un mot de passe faible, y'a peu de chances pour qu'il y ait un admin qui fasse de la veille sécu derrière, donc sans le malware il y a fort à parier que les routeurs seraient restés vulnérables encore un bon moment
    le 04/10/2015 à 2:06
  • laerne
    Membre éprouvé
    Probablement des white hats qui en avait marre de publier des outils ignoré par trop de webmasters, laissant des failles béantes dans la toile.
    le 04/10/2015 à 1:50
  • N_BaH
    Modérateur
    un poison qui fait du bien, c'est un médicament !

    pourquoi appellent-ils ça un malware ?
    le 03/10/2015 à 21:06
  • Cafeinoman
    Membre éprouvé
    Eh bien merci messieurs. A quand le cheval de Troie qui fait des aptitude update sur les serveurs?
    le 04/10/2015 à 10:46
  • earhater
    Membre éprouvé
    ça s'appelle malware dans le sens où il s'installe de manière non désirée sur le routeur
    le 03/10/2015 à 21:33
  • curt
    Membre émérite
    Sans être spécialiste, il me semble que les box, notamment LiveBox (orange) tournent sous Linux...
    Quel est l'impact sur nos box ???

    Curt
    le 03/10/2015 à 21:38
  • Max Lothaire
    Membre confirmé
    Si je comprend bien, si le routeur n'utilise pas telnet ce truc ne nous infecte pas ?

    Par contre je comprend pas l’intérêt de faire un malware « gentil ». Si le but est d’améliorer la sécurité de ces routeurs, pourquoi ne pas tout simplement publier l'outil ?
    S'il s'installe en douce, ça doit bien être à dessein, mais lequel ?
    le 03/10/2015 à 22:06
  • TiranusKBX
    Expert confirmé
    un aiti-virus pour routeur, comme c'est gentil de leur part
    le 04/10/2015 à 13:11
  • CoderInTheDark
    Membre émérite
    Ca peut aider à combattre les réseaux de bot net ?
    le 06/10/2015 à 8:02
  • SurferIX
    Membre chevronné
    Envoyé par earhater
    ça s'appelle malware dans le sens où il s'installe de manière non désirée sur le routeur
    Wikipedia : Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur dont l'ordinateur est infecté.

    Dans le but de nuire. La il ne nuit pas. Ce n'est donc pas un malware.
    le 10/10/2015 à 18:34
  Poster une réponse