Une porte-dérobée dans les serveurs Linux d’un hébergeur

C’est en mai dernier qu’a été découverte une porte-dérobée, dans les serveurs Linux d’hébergeur. D’après Symantec, ce logiciel malveillant visait à récupérer « des données clients tels que les noms d’utilisateur, les mots de passe et les adresses e-mail  ». Si les pirates sont parvenus à accéder aux mots de passe, les méthodes de protection employées par l’hébergeur « ont rendu difficile la récupération en masse » des précieux sésames. Les données financières des clients ont également pu être consultées mais… pas en clair. Toutefois, « un accès à la clé de chiffrement ne peut pas être exclu ».

Mais pour Symantec, il ne s’agit pas d’une banale intrusion. L’opération est « plus sophistiquée que ce nous avons vu par le passé ». De fait, l’éditeur décrit une opération dans laquelle les pirates ont cherché activement à masquer tout trafic et tout fichier suspect. Le porte dérobée était ainsi cachée dans des processus serveurs, SSH notamment. Ce processus a été détourné pour surveiller le trafic et chercher des séquences de caractères correspondant à des commandes chiffrées avec les algorithmes Blowfish et encodées en Base64 pour les extraire. Les pirates n’avaient ainsi plus qu’à tenter des connexions aux serveurs SSH pour transmettre, dans le flux, des commandes s’adressant spécifiquement à la porte dérobée, tout en passant inaperçus.