Journal Turla, virus pour tous (oui pour Linux aussi)

Posté par (page perso) . Licence CC by-sa
Tags :
14
12
déc.
2014

Cher journal,

Ça y est, encore une alerte au malware ciblant les systèmes basés sur GNU & Linux. Il y a GNU, il y a Linux, et il y a des tas de /linux et un ou deux GNU/ je suppose que… Non rien.

Lu sur le site http://www.developpez.net

Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux d’une famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.

Baptisé Turla, le malware a été utilisé dans l’une des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de l’éducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.
(…)

Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer

et l'article source en anglais est disponible à la fin de l'article:
Source : Kaspersky

la conclusion en forme de question:

Et vous ?

Que pensez-vous du malware Turla ?

Serai-t-on en plein dans une cyberguerre ?

Personnellement, si le programme est actif ou peut être activé sous le compte utilisateur je trouve que ça craint terriblement pour le monde du Libre et de l'Open Source en général.

La conclusion sur la page de chez Kasperski est nuancée:

Although Linux variants from the Turla framework were known to exist, we haven't seen any in the wild yet.(…)

/Bien que des variantes du cadriciel Turla pour Linux étaient connues, nous n'en avons pas encore vu "dans la nature".

et il y a des suites:

Update: Since the publishing of this blogpost, we have discovered another Linux Turla module, which apparently represents a different malware generation than the previously known samples:

/Mise à jour: Depuis la publication de cet article nous avons découvert un autre module Turla pour Linux qui représente apparemment une génération de malware différente de l'échantillon précédent:
Titre de l'image

Et vous, qu'en pensez-vous ?

  • # Prêt pour le Desktop

    Posté par . Évalué à 10.

    Ça prouve que GNU/Linux est prêt pour le Desktop !

    • [^] # Re: Prêt pour le Desktop

      Posté par . Évalué à 10.

      Toutafaÿ, c'est une excellente nouvelle :o

      Pendant longtemps les éditeurs de virus ont totalement ignoré Linux, générant beaucoup de mécontentement dans les rangs des linuxiens, et faisant la sourde oreille aux réclamations des utilisateurs de ce superbe OS. La récente décision prise par l'éditeur de Trula - que nous saluons au passage - de porter son dernier bijou sur notre plateforme préférée est la preuve que le communauté linux sait se faire entendre, et que la compétitivité de linux sur le marché de l'infection n'est plus à démontrer.

      Cette décision devrait nous réjouir tous, car elle marque l'entrée de la communauté opensource dans une nouvelle ère : celle du linuske daistoppe. Certes de nombreux éditeurs continuent à bouder notre écosystème, mais force est de constater qu'ils sont de plus en plus nombreux à y porter leurs crapwares, preuve que linux est en passe de devenir une alternative crédible sur la marché des OS pour le grand public.

      splash!

  • # libpcap

    Posté par . Évalué à 10. Dernière modification le 12/12/14 à 19:38.

    Voici quelques détails intéressants tirés de l'article de Kaspersky.

    Pour pouvoir contrôler la machine infectée, les pirates ont mis en place dans Turla un moyen pour pouvoir ouvrir un canal de communication à la demande. On pourrait imaginer qu'une fois infectée, la machine ouvre un socket en écoute sur un port bien précis et attende les commandes. Mais cela rend l'intrusion facilement détectable car on se rend compte assez vite que quelque chose cloche.

    La technique utilisé par Turla est de « sniffer » le réseau, en attente d'un paquet dit magique, ou paquet d'activation, une fois ce paquet détecté, Turla ouvre un canal de communication et attend les ordres. « Sniffer » le réseau ne requiert pas l'ouverture d'un socket, et donc c'est un peu plus furtif car le canal de communication est ouvert juste quand il le faut.

    Techniquement, il semblerait d'après Kaspersky que Turla reprend le code de cd00r. cd00r est une preuve de concept (PoC) pour Linux qui implémente le mécanisme d'activation expliqué plus haut. Et pour ce faire il utilise libpcap. Je vous conseille d'aller lire le commentaire d'en-tête de cd00r car tout est très bien expliqué.

    Ce qui nous amène au point suivant : il faut que le programme (le thread en réalité) ait la capability CAP_NET_RAW pour pouvoir sniffer le réseau à l'aide de libpcap. Et si je ne dis pas de bêtises, cela revient sur la plupart des systèmes à être root.

    Note à part, cd00r est intéressant car par exemple il n'y a pas de chaînes de caractères de plus de trois lettres dans le code source pour qu'aucune chaîne suspicieuse apparaisse avec la commande string.

    • [^] # Re: libpcap

      Posté par (page perso) . Évalué à -1.

      Faux, si tu utilises Wireshark, tu as un groupe qui te permet de sniffer en tant qu'utilisateur.

      • [^] # Re: libpcap

        Posté par . Évalué à 6.

        Il faut ajouter manuellement l'utilisateur au groupe en question (avec le compte root). Donc bon.

        • [^] # Re: libpcap

          Posté par (page perso) . Évalué à 3.

          et le groupe, c'est?

          • [^] # Re: libpcap

            Posté par (page perso) . Évalué à 7.

            ça dépend de ta distro, de tes choix, c'est la toute la solidité génétique pour bazar…

            ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

        • [^] # Re: libpcap

          Posté par (page perso) . Évalué à 2.

          Gni ? Quel rapport avec la choucroute ?
          Tu rajoute l'utilisateur une fois en tant que root, au lieu de faire tourner wireshark en root, qui me semble bien + critique.

      • [^] # Commentaire supprimé

        Posté par . Évalué à 2. Dernière modification le 13/12/14 à 12:02.

        Ce commentaire a été supprimé par l'équipe de modération.

    • [^] # Re: libpcap

      Posté par . Évalué à 8.

      Techniquement c’est du port knocking de base, tel qu’on en utilise dès qu’on veut cacher un service à nmap et qu’on se moque des spofs.

    • [^] # Re: libpcap

      Posté par . Évalué à 1.

      Note à part, cd00r est intéressant car par exemple il n'y a pas de chaînes de caractères de plus de trois lettres dans le code source pour qu'aucune chaîne suspicieuse apparaisse avec la commande string.

      C'est stupéfiant. J'aurais jamais cru qu'on puisse voir un truc aussi évolué un jour.

  • # Super on y est presque :)

    Posté par . Évalué à 10. Dernière modification le 13/12/14 à 10:32.

    Enfin un vrai de vrai virus documenté par kapersky … on est presque dans la cour des grands.
    Bientôt Linux sera considéré comme un VRAI SYSTEME DE PRO.
    Mais la route est encore longue …
    Eh ouais les ptits gars … il faudrait
    - avoir des mises à jours officielles qui mettent la grouille (au fait les transport aériens londoniens il tournent sous quoi ?)
    - Un VRAI anti virus qui bouffent 30% des ressources, et qui bloquent tout même si t'es root.
    - des comportements aléatoires qui nécessitent un reboot régulier
    - une base de registre … non c'est vrai les variables d'environnements c'est trop facile.
    mais le plus dur …
    - supprimer la ligne de commande … c'est has been, ou alors a conserver juste pour les barbus
    - une GPO digne de ce nom … le genre de truc redoutable ou plus personne ne comprend rien, ça c'est pro
    Et enfin on pourra mettre l'année dans le nom … Ubuntu 2011 / Redhat 2012 pour bien te rappeller que c'est du jetable, du consommable au bout de 3 ans faut changer.
    Et enfin l'accès au saint des saint, le nirvana, la quintessence de l'informatique moderne :
    une VRAI suite office.

    Bon week end … vous pouvez moinsser

    • [^] # Re: Super on y est presque :)

      Posté par (page perso) . Évalué à 7.

      • avoir des mises à jours officielles qui mettent la grouille

      C'est fait (enfin, là, c'est la correction) https://lists.debian.org/debian-security-announce/2014/msg00264.html [1]

      et qui bloquent tout même si t'es root.

      Ça c'est facile à faire avec SELinux

      des comportements aléatoires qui nécessitent un reboot régulier

      Facile aussi avec les modules kernel de Virtualbox

      une GPO digne de ce nom … le genre de truc redoutable ou plus personne ne comprend rien, ça c'est pro

      On y est presque, Fedora a déjà ajouté les rôles (bon, ça existait déjà sous d'autres distrib mais sans être autant accessible)

      une VRAI suite office.

      Peut-être en émulant android et installant Office for Android tablet.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Super on y est presque :)

      Posté par . Évalué à -6.

      On a déjà parcouru un bon bout de chemin avec systemd : ce seraa LE truc à infecter à l'avenir pour pouvoir corrompre tout un système (corrompre systemd devrait être assez intéressant aussi) Pour le reste de tes doléances, ne t'inquiète pas, Lennart Pottering et son équipe de choc y travaillent, avec le soutien assidu des devs Gnome.

      • [^] # Re: Super on y est presque :)

        Posté par . Évalué à 10.

        Wep c'est comme ce système d'exploitation de merde, là, où dedans t'as… un noyau !!!! Nan mais t'imagine, un noyau, le machin ultra central et monolithique en plus ! Je peux te dire que c'est LE truc à infecter à l'avenir pour pouvoir corrompre tout un système.

    • [^] # Re: Super on y est presque :)

      Posté par . Évalué à -8.

      La "vraie suite office" mise à part, je pense que les créateurs de systemd vont se charger de tout cela, avec par exemple :
      - linux-updated (pour les mises à jour qui bousillent tout, quoi qu'on avait déjà aptitude…)
      - antivirusd
      - systemd (ça, c'est déjà fait ; journaux binaires en prime)
      - gconfd (y'a déjà gconf ; plus qu'à changer le nom)
      - la ligne de commande : avec des fichiers de config binaires dans tous les coins, et un gestionnaire d'init bientôt plus complexe que le noyau, ça ne sert plus à grand chose…
      - GPO : les cgroup font l'affaire, non ? Et ça ne va pas tarder à devenir incompréhensible vu le chemin que ça prend…

      J'étais pas là vendredi ; défoulez-vous en moinssant.

    • [^] # Re: Super on y est presque :)

      Posté par . Évalué à 1.

      • une GPO digne de ce nom

      Je veux bien que quelqu'un explicite l'acronyme, là comme ça je ne vois pas ;). Merci !

      Ça, ce sont les sources. Le mouton que tu veux est dedans.

      • [^] # Re: Super on y est presque :)

        Posté par (page perso) . Évalué à 2.

      • [^] # Re: Super on y est presque :)

        Posté par . Évalué à 4. Dernière modification le 15/12/14 à 17:07.

        Tu n'as jamais été confronté aux GPO ? ou plus communément Stratégie de groupe.

        Vu du coté obscure, il s'agit d'une gestion centralisée de ton réseau. Il suffit d'indiquer ce que tu veux à Mr ActiveDirectory et c'est tout.
        Tel utilisateur peut imprimer sur telle imprimante et pas celle de ton voisin.
        Ce répertoire partagé n'est lisible que par le patron et le groupe "compta" etc …
        tu peu tout controler comme dans les films à partir de ton compte admin
        C'est magique :)

        Vu du coté Lumineux de la force, c'est un révélateur de manque de bon sens et de pragmatisme. Entre les mains d'admins mal|non formés ou non équipé de bon sens pratique … c'est un peu comme des pots de peintures dans une classe de maternelle.
        Il y a des dommages collatéraux …
        Tu ajoutes une règle, puis une autre et encore une petite règle … la dessus tu fais une grosse mise à jour ou une migration (la MAJ c'est tout les ans, la migration c'est pareil mais tout les 3 ans et il faut payer …) tu saupoudres de quelques règles pour épater les copines du service marketing et TADAAAAAAAA tsoin tsoin c'est la circus édition.
        Et la plus personne ne comprends ce qu'il se passe, des répertoires sont inaccessibles à certains pas à d'autres … des fichiers créées par un logiciel ne peuvent plus être relu par celui ci etc …

        il y a aussi les conneries d'admins, ainsi j'ai pu voir : les historiques de TOUT les postes clients partir en fumée et certains répertoires devenir illisible par tout le monde y compris avec un compte d'administrateur.
        Généralement un reboot suffit à corriger le problème … mais la bête est toujours la, tapie dans un coin sombre de la base de registre, prête à bondir sur le premier objet perdu dans la forêt.
        Dans le Windows profond … personne ne vous entend crier :)

        Bon ok … on est que Lundi mais c'est Noël *<:)

        • [^] # Re: Super on y est presque :)

          Posté par (page perso) . Évalué à 3.

          Et entre les mains d'admin compétents et bien formés  ?

          La seule chose à faire avec un mauvais admin, c'est de lui enlever les droits root en attendant qu'il soit bon ; il fera des catastrophes avec n'importe quel OS, GPO ou pas.

          • [^] # Re: Super on y est presque :)

            Posté par . Évalué à 1.

            Et entre les mains d'admin compétents et bien formés  ?

            Soyons honnête, quand c'est mis en œuvre par des VRAIs admins cela fonctionne.
            mais yen a pas beaucoup … la preuve :
            La ou je bosse, les demandes clients provenant de problème pure windows (GPO, anti virus, MAJ etc …) finissent par arriver chez nous alors que nous sommes de vrais Unixiens ( barbus, tatoués toussa )

            Oyez brave gens, sachez que les sys admins Unix/Linux sont les derniers remparts avant le néant …

            PS : on est pas dans la m….

            • [^] # Re: Super on y est presque :)

              Posté par (page perso) . Évalué à 3.

              À mon avis (basé sur assez peu de choses, je le reconnais), l'admin sys Linux moyen est nettement plus compétent que l'admin. sys Windows moyen, ne serait-ce que parce qu'il est beaucoup plus facile de s'improviser admin sys Windows (en cliquant suffisamment partout, on peut arriver à faire tomber en marche le système, sans comprendre ce qu'on a fait).

              Je pense que tout le monde a connu des gens qui se sont improvisés experts Windows simplement en étant un peu moins mauvais que leur entourage.

              • [^] # Re: Super on y est presque :)

                Posté par . Évalué à 2.

                Bin, c'est surtout que l'admin sys Windows, une fois atteint un certain niveau, se tourne vers un meilleurs système et devient admin sys Linux.

                Résultat, il n'y a que des admin sys Windows débutants ou forcés. Et des cons, mais on peut les placer dans les débutants vu leur niveau de culture.

            • [^] # Re: Super on y est presque :)

              Posté par (page perso) . Évalué à 4.

              Soyons honnête, quand c'est mis en œuvre par des VRAIs admins cela fonctionne.
              mais yen a pas beaucoup … la preuve :

              Il ne faut pas non plus négliger les demandes débiles pas forcément adéquates des utilisateurs. Si on demande aux admin Windows de configurer l'arrière plan du bureau pour qu'il soit vert les jours paires sauf si c'est un jour où l'entreprise est fermée pour des raisons religieuse, il ne faut pas s'étonner que les erreurs arrivent. Si on leur demande de protéger les fichiers, mais quand un consultant débarque, il faut qu'il ait accès à tout ce dont il a besoin sans login, ça devient compliqué.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Super on y est presque :)

                Posté par . Évalué à 1.

                Il ne faut pas non plus négliger les demandes débiles pas forcément adéquates des utilisateurs.

                Notre équipe système à une réponse par défaut en cas d’absence … => Non (simple, concis, efficace)
                Ensuite je m'efforce de ridiculiser toute demande incohérente, aberrante etc …
                Ainsi les demandes "idiotes" sont murement réfléchis … voire déguisés.

                C'est de la responsabilité de l'administrateur de ne pas faire de conneries.
                En tant qu'"homme de l'art" il sera toujours fautif. il a la responsabilité de l'exploitation.
                Même suite à une demande de la part du client, si il y a perte de données, sans sauvegarde par exemple, en cas de problème l'admin EST responsable.
                C'est à moduler mais en gros, si tu donnes un revolver chargé … c'est ta faute
                Si tu donnes un revolver avec les balles à part … c'est plus ta faute.
                Si vous ne saisissez pas la nuance j'ai une histoire vraie plus facile a comprendre.

                Si on demande aux admin Windows de configurer l'arrière plan du bureau pour qu'il soit vert les jours paires sauf si c'est un jour où l'entreprise est fermée

                Sans rire … c'est un cas réel ? ou juste une blague

                • [^] # Re: Super on y est presque :)

                  Posté par (page perso) . Évalué à 3.

                  Même suite à une demande de la part du client, si il y a perte de données, sans sauvegarde par exemple, en cas de problème l'admin EST responsable.

                  L'admin est responsable de prévenir le client des conséquence. Mais si tu lui dit que ça va tout casser et détruire les données et qu'il te répond "je m'en fous, je veux que vous le fassiez quand même". C'est quand même lui qui paye pour que tu exécute ses demandes.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Super on y est presque :)

                    Posté par . Évalué à 1.

                    J'ai un peu de temps et voici l'histoire complète à méditer :

                    Il y a qq années un vieux système se trouvait plein à ras bord et il fallait
                    trouver de l'espace disque.
                    Le client nous demande de déplacer des fichiers de données d'applications sur des disques non mirroré.
                    Malgré nos avertissements multiples, de vive voix, par mail fax et lettre recommandé, le client nous a demandé de le faire
                    et cela a été fait.
                    Loi de murphy oblige … Foudre … Onduleur HS … Serveur HS … ET disque non mirroré HS
                    Données perdues etc … obliger d'envoyer le disque chez ONTRACK pour récupération.

                    heureusement seule l'électronique du disque était abimée et les données sont revenues sous forme de CD non altérées … OUF

                    Dans le laps de temps entre l'envoi et la récup des données … discussion âpre avec le client qui jure que si il saute il ne sera pas le seul etc … (client coté en bourse actionnaire toussa …)

                    Vérification auprès de nos avocats, nous étions en tort, en tant que maitre d'oeuvre ou "homme de l'art" nous n'aurions JAMAIS du le faire.
                    A l'époque, n'importe quel juge nous donnait tort, peut être que les choses ont évoluées mais
                    je ne pense pas que mon patron soit suffisamment "joueur".

                    D'ailleurs je crois qu'il a ré évalué la partie "risque" de l'assurance de la boîte depuis.

                    D’où la maxime … ne jamais donner un bâton pour se faire battre.

                    • [^] # Re: Super on y est presque :)

                      Posté par (page perso) . Évalué à 4.

                      J'ai quand même un gros doute avec ce que tu raconte. Ça veut dire que si ton client de dit de supprimer des vieux backup ou des données inutiles pour faire de la place, tu es en tord. Dans, ce cas, je crois que je ne connais pas grand monde qui ne soit pas dans ce cas.

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                      • [^] # Re: Super on y est presque :)

                        Posté par . Évalué à 1.

                        C'est le caractère définitif de la suppression, rien ne t’empêches de faire des Backups sur médias
                        AVANT de procéder à la suppression.

                        Si le client te le redemandes, alors tu restaures les backups.
                        La aucun backup n'avait été prévu et donc perte de données.

                        C'est comme ta procédure de sauvegarde, si le client n'as pas compris qu'en restaurant depuis le backup de la veille il perd forcément une journée de boulot (ou presque).
                        Et une journée de travail avec ne serait ce que 20 utilisateurs cela coute cher.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.