Dans le domaine numérique souvent occulté mais ô combien crucial de la sécurité des systèmes d’information, une menace vient de pointer le bout de son nez. Cachée derrière le nom technique de DinodasRAT ou XDealer, cette porte dérobée multisystème, développée en C++, rôde tel un chat sauvage dans les systèmes informatiques, guettant la moindre faille pour s’y faufiler et subtiliser des données sensibles. Sa présence a été révélée à la suite d’une attaque contre des administrations guyaniennes, une situation documentée par ESET sous l’appellation d’Opération Jacana.
On savait déjà que l’infection touchait les systèmes Windows, mais récemment, en octobre 2023, un nouveau variant Linux de cet outil d’espionnage a été identifié. Plus retord et jusqu’alors méconnu du grand public, ce variant pourrait être en activité depuis 2022. En analysant le modus operandi de ce maliciel Linux, on découvre qu’il prend racine dans les distributions basées sur Red Hat et Ubuntu, créant une empreinte discrète et un fichier caché pour assurer qu’une seule instance du programme malveillant soit lancée.
L’implant se fraye un chemin pour devenir persistant au démarrage du système grâce à des scripts SystemV ou SystemD. Il fabrique ensuite une identité unique pour chaque machine infectée, une sorte de passeport digital maléfique, ne se basant sur aucune donnée personnelle mais plutôt sur des caractéristiques propres à l’appareil lui-même.
Pour opérer en catimini, il altère les métadonnées des fichiers accédés, une astuce de dissimulation rappelant l’artiste de rue qui change d’emplacement avant même que son oeuvre éphémère ne soit découverte. Ajoutons à cela des techniques d’établissement de persistance innovantes et une communication avec le serveur de commande et de contrôle (C2) habilement dissimulée, autant que raffinée.
Cet agent malveillant ne se contente pas d’espionner; il est muni d’un arsenal de commandes pouvant changer le visage d’un système infecté du tout au tout, de la prise de contrôle des services à l’exécution de commandes arbitraires.
Galvaudé par une cryptographie partagée avec la version Windows, le petit dernier de l’espionnage logiciel utilise des clés d’encryptage qui ne sont pas sans rappeler celles utilisées par des applications de messagerie instantanée connues.
De Chine en Ouzbékistan, ce maliciel s’implante et compromet les serveurs Linux. La vigilance s’impose d’autant plus que les produits de sécurité Kaspersky détectent désormais cette variante comme étant HEUR:Backdoor.Linux.Dinodas.a.
Face à une telle ingéniosité dans la subversion digitale, comment se prémunir? Ne jouez pas les apprentis sorciers; maintenez systématiquement vos systèmes à jour, soyez vigilants quant aux fichiers et programmes que vous exécutez et, surtout, faites confiance à des solutions de sécurité éprouvées. Dans le cas présent où la discrétion est la clé, un audit fréquent de vos systèmes et une surveillance accrue de l’activité réseau peuvent s’avérer salvateurs.
