Kaspersky dévoile une attaque de la chaîne d'approvisionnement qui ciblerait Linux depuis trois ans

Kaspersky a dévoilé une campagne malveillante utilisant un installateur du logiciel Free Download Manager pour diffuser une porte dérobée Linux pendant au moins trois ans. Selon les découvertes des chercheurs, les victimes de la campagne ont été infectées alors qu’elles avaient téléchargé le logiciel à partir du site officiel, ce qui indique qu'il s'agit d'une possible attaque de la chaîne d'approvisionnement. Les premières variantes du logiciel malveillant utilisé dans cette campagne ont été identifiées pour la première fois en 2013. On retrouve des victimes dans différents pays, dont le Brésil, la Chine, l'Arabie Saoudite et la Russie. 

Les experts de Kaspersky ont identifié une nouvelle campagne malveillante ciblant les systèmes Linux, au cours de laquelle les acteurs de la menace ont déployé une porte dérobée (un type de cheval de Troie) sur les appareils des victimes en utilisant une version infectée d'un logiciel gratuit très utilisé : Free Download Manager. Une fois l'appareil infecté, les attaquants cherchent à voler des informations telles que les données système, l'historique de navigation, les mots de passe enregistrés, les fichiers de portefeuilles de crypto-monnaies, et même les informations d'identification pour les services cloud tels qu’Amazon Web Services ou Google Cloud. Selon la télémétrie de Kaspersky, cette campagne fait des victimes dans le monde entier, notamment au Brésil, en Chine, en Arabie saoudite et en Russie.

Selon les chercheurs de Kaspersky, il s'agit probablement d'une attaque de la chaîne d'approvisionnement. Au cours de l'enquête, les experts ont entre autre visionné des vidéos tutorielles d’installation de Free Download Manager sur YouTube pour les ordinateurs sous Linux, où les créateurs de contenu démontrent par inadvertance le processus d'infection initial : en cliquant sur le bouton de téléchargement sur le site officiel, le fichier téléchargé est en fait une version malveillante de Free Download Manager. Dans une autre vidéo, c'est bel et bien une version légitime du logiciel qui est téléchargée. Il est possible que les développeurs de logiciels malveillants aient programmé la redirection vers une version malveillante de sorte qu’elle ne soit pas systématique, et qu'elle apparaisse avec un certain degré de probabilité, en fonction de l'empreinte digitale de la victime potentielle. C’est ainsi que certains utilisateurs se sont retrouvés à télécharger le logiciel malveillant, tandis que d'autres ont obtenu la version légitime.

D’après les conclusions de Kaspersky, la campagne aurait duré au moins trois ans, de 2020 à 2022. Le programme malveillant procédait à l’installation de la version de Free Download Manager publiée en 2020. De plus, au cours de cette période, des discussions ont eu lieu sur des sites web tels que StackOverflow et Reddit au sujet des problèmes causés par la distribution du logiciel infecté. Toutefois, les utilisateurs ne savaient pas que ces problèmes étaient dus à une activité malveillante.

Un utilisateur de Reddit s'est demandé s'il pouvait installer Free Download Manager sans exécuter un script qui s'est avéré contenir un logiciel malveillant

« Des variantes de la porte dérobée analysée ont été détectées par les solutions Kaspersky pour Linux depuis 2013. Un des problèmes réside dans le fait que beaucoup croient que Linux est immunisé contre les logiciels malveillants, ce qui fait que nombre de ces systèmes ne bénéficient pas d'une protection adéquate en matière de cybersécurité. Ce manque de protection fait des systèmes sous Linux des cibles préférentielles pour les cybercriminels. La campagne liée à Free Download Manager montre comme il est difficile de détecter une cyberattaque en cours sur un système Linux. Il est donc essentiel que les appareils basés sur Linux soient dotés de solutions de sécurité fiables et efficaces », déclare Georgy Kucherin, expert en sécurité chez GReAT, Kaspersky.

Pour en savoir plus sur la campagne et son analyse technique, rendez-vous sur SecureList.

Pour se protéger des menaces ciblant les systèmes sou Linux, il convient de mettre en œuvre les mesures de sécurité suivantes :

• Choisissez une solution de sécurité éprouvée pour les terminaux, telle que Kaspersky Endpoint Security for Business, qui est équipée de fonctions de surveillance du comportement et de contrôle des anomalies pour une protection efficace contre les menaces connues et inconnues.
• Utilisez le produit Kaspersky Embedded Systems Security. Cette solution multicouche offre une sécurité optimisée pour les systèmes, appareils et scénarios basés sur Linux, conformément aux normes réglementaires rigoureuses applicables à ces systèmes.
• Les identifiants corrompus pouvant être mis en vente sur le dark web, utilisez Kaspersky Digital Footprint Intelligence pour surveiller les ressources présentes sur le web clandestin et identifier rapidement les menaces associées.

A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.