Un nouveau projet de recherche conjoint d’Intezer Labs et BlackBerry, «  Symbiote Deep-Dive : Analysis of a New, Nearly-Impossible-to-Detect Linux® Threat  », explore cette menace en profondeur.

Symbiote  : une vicieuse attaque numérique

L’objectif principal de ce malware appelé «  Symbiote  » est de capturer les informations d’identification et de faciliter l’accès via une porte dérobée. Comme le malware dispose de nombreux moyens de dissimulation, propre aux fonctionnalités de ce rootkit, la détection d’une infection peut être difficile. Mais Symbiote a encore plus de cordes à son arc.

Ce qui différencie Symbiote des autres logiciels malveillants sur Linux®, est sa capacité à infecter des processus en cours, plutôt que d’utiliser un fichier autonome. Une fois que la menace s’est insinuée dans l’ordinateur de la victime, elle active sa fonctionnalité de rootkit (package de logiciels malveillants qui permet à un intrus d’obtenir un accès non autorisé à un ordinateur ou à un réseau) qui dissimule les preuves de sa présence.

Se cacher à la vue de tous

Cette menace ne se contente pas de cacher sa présence sur le système, elle dissimule également son trafic réseau en utilisant la fonctionnalité Berkeley Packet Filter (BPF). Ce n’est pas la première fois que cette technique est utilisée sur des machines Linux® - nous savons depuis des années que des outils de piratage attribués à l’Equation Group utilisent BPF pour des communications secrètes. Cependant, c’est la première fois que nous la voyons utilisée au sein d’un logiciel malveillant qui a pour motivation l’appât du gain.
Elle fonctionne de la manière suivante : lorsqu’il s’introduit dans des processus, le malware peut choisir les résultats qu’il affiche. Si un administrateur lance une capture de paquets sur la machine infectée pour enquêter sur un trafic réseau suspect, Symbiote s’infiltre dans le processus du logiciel de contrôle et utilisera le crochet du BPF pour filtrer les résultats qui pourraient révéler sa propre activité.

À la recherche de récompenses extraordinaires

Vous pourriez vous demander quel type de cible justifierait des fonctionnalités aussi robustes. En 2021, lorsque les créateurs de Symbiote ont commencé le développement, ils visaient très spécifiquement le secteur financier des pays d’Amérique latine. Les noms de domaine utilisés par le malware indiquent que les hackers se font actuellement passer pour des banques brésiliennes, suggérant ainsi que ces banques ou leurs clients sont les cibles prioritaires.
En plus de donner au hacker la possibilité d’accéder à distance aux machines, ce malware permet également au pirate de procéder à une récolte automatique des informations d’identification.

Symbiote est l’une des menaces Linux® les plus récentes et les plus sophistiquées observées ces derniers temps, mais les tendances dans le paysage actuel des menaces semblent suggérer que ce ne sera pas la dernière. Comme les cyber-criminels concentrent de plus en plus leur attention sur les charges de travail et les serveurs cloud, il est prévisible que le nombre de menaces augmente. L’équipe internationale BlackBerry Threat Research & Intelligence continuera d’identifier, d’analyser et de signaler les menaces telles que Symbiote, tout en contribuant à l’élaboration de mesures nécessaires pour atténuer ou stopper leur impact.