Selon un rapport de l'entreprise de cybersécurité CrowdStrike, les malwares prenant pour cible des systèmes d'exploitation basés sur Linux ont connu une croissance de +35 % en 2021 par rapport à l'année 2020. Ces cibles sont principalement des appareils connectés de l'Internet des objets (IoT).

" Qu'ils utilisent des identifiants codés en dur, des ports ouverts ou avec des vulnérabilités non corrigées, les appareils de l'IoT basés sur Linux sont une proie facile pour les attaquants, et leur compromission en masse peut menacer l'intégrité de services internet critiques ", écrit CrowdStrike.

C'est notamment une allusion à des botnets formés d'objets connectés compromis qui peuvent devenir des vecteurs pour des attaques par déni de service distribué (DDoS) de grande ampleur. Ils agissent en lien avec des centres de commande et contrôle.

botnet-octopus

XorDDoS, Mirai et Mozi

Les malwares Linux les plus prolifiques en 2021 sont au nombre de trois. Ils représentent plus de 22 % des menaces ciblant Linux qui ont été observées par CrowdStrike en tenant compte de diverses variantes.

XorDDoS est un cheval de Troie compilé pour plusieurs architectures (ARM, x86, x64). Il utilise des attaques par force brute sur SSH. Sur des machines Linux, des variantes montrent que des attaquants recherchent des serveurs Docker avec le port 2375 ouvert.

Mirai renvoie à des variantes depuis que le code source de ce cheval de Troie impliqué dans des attaques DDoS a été rendu public. Il exploite des protocoles comme Telnet et mots de passe faibles pour compromettre des appareils avec des attaques par force brute.

Quant à Mozi, il est présenté comme un botnet P2P qui utilise le système DHT (Distributed Hash Table) pour dissimuler des communications avec le centre de commande et contrôle. L'infection se fait par force brute sur SSH et Telnet avec des ports qui sont ensuite bloqués.