Les chercheurs de Flare ont identifié une nouvelle menace sophistiquée baptisée PamDOORa. Ce backdoor Linux, actuellement en vente sur un forum cybercriminel russe, cible spécifiquement la pile PAM (Pluggable Authentication Module), l’une des couches les plus sensibles et sécurisées du système d’exploitation.
Une menace « post-exploitation » de qualité professionnelle
Découverte par Assaf Morag, chercheur chez Flare, PamDOORa est un outil conçu pour maintenir un accès persistant après une compromission initiale. Initialement proposé à
1 600 $, son auteur (opérant sous le pseudonyme « darkworm ») a récemment réduit le prix à 900 $, signe d’une volonté d’accélérer les ventes.
Contrairement aux scripts rudimentaires que l’on trouve souvent en open source, PamDOORa se distingue par sa structure modulaire et ses capacités avancées :
- Accès persistant furtif : Il permet une connexion via OpenSSH en utilisant un mot de passe « magique » et une combinaison spécifique de port TCP.
- Vol d’identifiants en temps réel : L’outil intercepte les mots de passe de tous les utilisateurs légitimes dès leur authentification, avant même toute journalisation système.
- Manipulation anti-forensique : PamDOORa altère délibérément les logs (lastlog, btmp, utmp, wtmp) pour effacer toute trace de l’attaquant.
- Contre-analyse : Il intègre des mécanismes anti-débogage pour entraver le travail des analystes en cybersécurité.
Un risque accru pour les équipes de réponse aux incidents
L’une des caractéristiques les plus critiques de PamDOORa est sa capacité à compromettre les efforts de remédiation. Puisque la capture d’identifiants s’effectue au sein même de la pile PAM, les membres d’une équipe de réponse aux incidents qui se connecteraient au serveur compromis pour enquêter risquent de voir leurs propres identifiants capturés. De plus, la falsification des logs peut gravement fausser la chronologie des événements lors d’une investigation.
Flare a identifié plusieurs profils utilisant l’alias « darkworm », mais le vendeur de PamDOORa démontre une crédibilité technique supérieure, suggérant un acteur compétent avec une connaissance approfondie des rouages internes de Linux.
Face à cette menace, les experts de Flare recommandent aux entreprises de :
- Prioriser la détection comportementale sur les systèmes de production, notamment pour surveiller les flux d’authentification SSHD et les injections de bibliothèques non autorisées.
- Adopter une défense en profondeur basée sur le modèle « zéro confiance ».
- Partir du principe d’une exposition totale en cas de compromission : tout nettoyage doit impérativement inclure la rotation complète des identifiants et la révocation des clés.
