Linux.Wifatch aurait été découvert pour la première fois en 2014 et aurait réussi à infecter plusieurs dizaines de routeurs tournant sous Linux. En effet, c’est grâce à des analyses menées par un chercheur en sécurité que ledit malware a été découvert, cela après avoir remarqué que des choses inhabituelles étaient en train de se passer sur son routeur de maison.
Selon Symantec, la plupart du code de Linux.Wifatch est écrit dans le langage Perl et il cible plusieurs architectures ; c’est la raison pour laquelle son analyse s’est facilement déroulée. À l’issue de son analyse, Symantec affirme avoir découvert plusieurs secrets de Linux.Wifatch dont son mode opératoire pour arriver à ses fins.
Pour Symantec, Linux.Wifatch infecte les routeurs grâce à des connexions Telnet utilisant pour l’essentiel des identifiants faibles. Une fois que le routeur est infecté, une connexion à un réseau peer-to-peer (P2P) est créée ; ce dernier est utilisé pour distribuer des mises à jour de la menace. Symantec affirme avoir surveillé ce réseau P2P durant plusieurs mois sans qu'une quelconque activité malveillante ne soit décelée, en l’occurence celle relative aux attaques DDoS généralement identifiées.
Wifatch non seulement tente d'empêcher davantage l'accès au routeur en tuant le démon Telnet légitime, mais il laisse aussi un message aux propriétaires d'appareils les incitant à changer leur mot de passe et à mettre à jour le firmware.
Symantec souligne que Wifatch dispose d'un module qui tente de faire face à d'autres infections de logiciels malveillants déjà présents sur le dispositif concerné. Certaines des menaces qu’il tente de supprimer sont bien connues parmi les logiciels malveillants ciblant les appareils embarqués.
Les tableaux suivants montrent la répartition des pays touchés par cette infection et les architectures des dispositifs infectés.
Source : Symantec
Et vous ?
Qu'en pensez-vous ?Voir aussi :
le Forum Linux la Rubrique Linux (Cours, Tutoriels, FAQ, etc.) 
Envoyé par curt
