Perfctl - Un malware furtif qui menace des milliers de machines Linux
Un logiciel malveillant sophistiqué exploitant les failles de sécurité Linux et résistant aux tentatives de suppression.
Depuis 2021, un malware sophistiqué et redoutable, baptisé Perfctl, s'attaque aux machines tournant sous Linux. Ce logiciel malveillant se distingue par sa capacité à exploiter un large éventail de mauvaises configurations courantes. Ses mécanismes de furtivité avancés et la variété des activités nocives qu'il est capable de réaliser font de lui une menace sérieuse. Selon des chercheurs en sécurité, il a déjà infecté des milliers de machines à travers le monde, et des millions d'autres sont potentiellement vulnérables. Cet article l’examine de plus près ainsi que son mode opératoire, ses impacts et les mesures à prendre pour se protéger.
Exploitation de vulnérabilités et configurations défaillantes
Perfctl s'installe en profitant de plus de 20 000 erreurs de configuration courantes dans les systèmes Linux. Ces failles, présentes dans des millions de machines connectées à Internet, rendent ces dernières vulnérables à des attaques externes. Parmi ces vulnérabilités, on retrouve le CVE-2023-33426, une faille critique (notation de 10/10) dans Apache RocketMQ, une plateforme de messagerie et de diffusion très utilisée sur les serveurs Linux. Bien qu’elle ait été corrigée en 2021, de nombreux systèmes n'ont pas encore appliqué le correctif, offrant ainsi une porte d'entrée aux cyberattaquants. Une fois installé, Perfctl utilise des processus et des fichiers dont les noms sont très proches de ceux des outils Linux légitimes. Ce subterfuge permet au malware de se dissimuler dans l’environnement du système sans attirer votre attention ou celle des administrateurs. Cette capacité à se fondre dans le système en fait une menace particulièrement difficile à détecter.
Un camouflage perfectionné
Perfctl ne se contente pas de changer les noms de ses processus. Il va plus loin en utilisant des rootkits, un type de malware qui masque sa présence au système d’exploitation et aux outils d’administration. Les rootkits sont souvent considérés comme l’une des formes de malware les plus furtives et dangereuses, car ils sont capables de manipuler les données système pour rester indétectables. Parmi les techniques de dissimulation de Perfctl, on note:
L’arrêt de ses activités lorsque vous vous connectez au système, afin d'éviter toute détection.
L’utilisation de la communication via un socket Unix sur le réseau TOR, rendant difficile le suivi des connexions externes.
La suppression du fichier d’installation après son exécution, avec le malware continuant de s’exécuter en arrière-plan.
L’usage d’un procédé nommé « hooking », qui permet de manipuler certaines fonctions du système (comme pcap_loop) pour empêcher la détection du trafic malveillant.
La suppression des messages d’erreur (mesg) pour éviter de vous alerter.
Ces mécanismes lui permettent de rester opérationnel malgré les tentatives de suppression, notamment en s’assurant qu’il se réinstalle après chaque redémarrage du système. Pour cela, il modifie certains fichiers système clés, comme le script ~/.profile, afin de s'exécuter avant les tâches légitimes à chaque connexion utilisateur.
Des activités variées et lucratives
Perfctl est conçu pour tirer profit des ressources des machines infectées de plusieurs façons. Tout d'abord, il exploite la puissance de calcul des processeurs pour miner des cryptomonnaies, une activité très lucrative pour les cybercriminels. Cette consommation intensive de ressources se traduit souvent par une utilisation excessive du CPU, un signe potentiel d'infection pour les administrateurs système. En outre, il transforme la machine infectée en un proxy, permettant à des clients payants de relayer leur trafic via ces machines, masquant ainsi leur véritable origine. Cela pose un risque supplémentaire pour les utilisateurs, car ces activités peuvent être utilisées pour commettre d'autres délits en ligne sans laisser de traces directes. De plus, il agit comme une porte dérobée, permettant aux attaquants d’installer d’autres logiciels malveillants, créant ainsi un environnement propice à des infections multiples.
Une menace persistante et difficile à éradiquer
L’une de ses caractéristiques les plus inquiétantes est sa capacité à résister aux tentatives de suppression. Les chercheurs ont documenté plusieurs cas où des administrateurs système l’avaient identifié et tenté de le supprimer sans succès. Un exemple typique est celui d’un administrateur ayant découvert une utilisation CPU à 100% sur deux serveurs, seulement pour constater que le malware cessait de fonctionner dès qu’il se connectait en SSH. Une fois déconnecté, l’activité malveillante reprenait presque immédiatement. Cette persistance est assurée par diverses techniques, comme la copie des fichiers malveillants à plusieurs emplacements sur le disque, ou l’utilisation de noms de fichiers qui imitent ceux des processus Linux légitimes. Perfctl utilise également des variables d’environnement pour stocker des informations nécessaires à son fonctionnement, renforçant encore sa capacité à rester actif malgré les tentatives de nettoyage.
Comment se protéger
Les chercheurs estiment que le nombre de machines infectées se chiffre en milliers, tandis que des millions d'autres restent vulnérables en raison de mauvaises configurations ou de correctifs non appliqués. Pour les administrateurs système et les utilisateurs de Linux, il est nécessaire de rester vigilants face à cette menace. Voici quelques étapes recommandées pour éviter l'infection:
Appliquer les correctifs de sécurité, notamment pour les vulnérabilités critiques comme CVE-2023-33426.
Surveiller les pics soudains de l’utilisation CPU ou les ralentissements inexpliqués, notamment lorsque le système est au repos.
Examiner les indicateurs de compromission publiés par les chercheurs pour détecter la présence de Perfctl sur vos machines.
Éviter les mauvaises configurations courantes, en adoptant des pratiques de gestion sécurisées pour vos systèmes Linux.
La menace que représente Perfctl souligne l'importance de maintenir les systèmes à jour et de renforcer leur sécurité. Les malwares évoluent rapidement, et seul un effort proactif peut permettre de minimiser les risques.