Une porte dérobée, Chaos, refait surface pour cibler les machines Linux

Des hackers lancent une attaque globale par force brute SSH dans le but de déployer une porte dérobée nommée Chaos. Le code source de la porte dérobée est en réalité celui d’un composant du rootkit « sebd » actif en 2013. Il a récemment été publié par un chercheur qui l’a renommé en « Chaos » afin de faire croire qu’il s’agissait d’une nouvelle vulnérabilité. Par conséquent, le code malveillant est désormais utilisé par les hackers qui ciblent des serveurs Linux.

Scénario d’infection :

L'installation de la porte dérobée Chaos commence par le téléchargement d’un fichier prétendant être un fichier au format jpeg. Le fichier est une archive tar contenant l’exploit Chaos (exécutable ELF), le client (exécutable ELF), et les scripts d’installation.

Scénario d’attaque :

La porte dérobée fonctionne comme suit: Chaos ouvre un socket TCP qui vérifie si les paquets entrants contiennent une chaîne spécifique. Si Chaos identifie la chaîne, il se connecte au client qui écoute sur le port TCP 8338 et crée un tunnel AES permettant de chiffrer les communications.
Bien que Chaos ait été découvert il y a quelques années, selon Virustotal, aucun antivirus n’est capable de le détecter.

Recommandations :

Etant donné que le malware Chaos installe un robot IRC pouvant exécuter de code à distance, il est conseillé aux administrateurs de redéployer complétement les serveurs infectés à partir d'une sauvegarde fiable et de mettre à jour leurs données d’authentification.