ESET détecte Mumblehard qui infecte les serveurs Linux et FreeBSD depuis 2009

La société éditrice de solutions de sécurité informatique ESET vient de révéler l’existence d’un malware répondant au nom de Mumblehard. Celui-ci aurait infecté des milliers d’ordinateurs, tout particulièrement des serveurs Web fonctionnant sous Linux et FreeBSD depuis au moins 2009.

ESET découvre Mumblehard après 6 ans d’infections

Cette découverte est intervenue suite à la demande d’aide d’un administrateur système, dont le serveur s’est retrouvé inscrit sur liste noire pour cause d’envoi de messages indésirables. En fait, le programme malveillant se sert des machines touchées pour expédier des spams.

Les techniciens ont ainsi cherché à en apprendre davantage sur le logiciel et ont mis en évidence deux composants : une porte dérobée ou « backdoor » qui gère la liaison avec des serveurs de commande et contrôle et un démon de spam qui envoie les pourriels en masse. Dans le détail, la porte dérobée soumet des requêtes aux serveurs C&C pour obtenir des commandes, télécharge et exécute l’adresse reçue, puis confirme l’exécution de son action malveillante.

Si le malware est passé aussi longtemps inaperçu, c’est que les deux éléments sont codés dans le langage assembleur Perl et dissimulés dans un fichier binaire exécutable ELF. Les chercheurs responsables de la trouvaille parlent d’un « niveau de sophistication plus élevé que la moyenne ».

Les lignes de code repérées sont compatibles avec les plateformes Linux, FreeBSD et Windows, mais les utilisateurs du système d’exploitation de Microsoft ont été jusqu’ici épargnés, le fichier ELF ne pouvant s’exécuter dans cet environnement.

Les recommandations d’ESET pour se protéger de Mumblehard

ESET recommande aux utilisateurs de systèmes d’exploitation à base Linux et FreeBSD de vérifier dans /tmp ou /var/tmp la présence d’entrées cronjob non sollicitées sur leurs serveurs. Monter le répertoire tmp avec l’option noexec bloque l’activation toutes les 15 minutes de la backdoor de Mumblerhard.

Et bien entendu, l’installation d’une suite de sécurité dotée d’un antispam puissant et régulièrement mise à jour est indispensable. La solution ESET Mail Security assure la protection des serveurs de messagerie pour les entreprises et organisations.

En attendant, il est difficile d’évaluer exactement l’ampleur de l’attaque, les cybercriminels derrière Mumblehard ayant eu plus de la moitié d’une décennie pour sévir en toute impunité. Durant les sept mois de surveillance par les spécialistes d’ESET du composant backdoor de Mumblehard en enregistrant un nom de domaine utilisé par l’un des serveurs de commande et contrôle, 8.500 adresses IP uniques ont été identifiées.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *