Des experts en cybersécurité ont décelé un malware utilisant le langage Go qui cible l’offre Lambda d’Amazon Web Services (AWS). Un logiciel baptisé Denonia qui doit être considéré avec importance pour l’avenir. D’après eux, ce maliciel exécute un programme de minage de cryptomonnaies. Quant à son protocole de communication, il repose sur le DNS over HTTPS (DoH).
Un logiciel malveillant qui attaque particulièrement la solution de calcul sans serveur d’AWS, Lambda. C’est ce qu’ont récemment découvert des spécialistes en cybersécurité de Cado Security. Une jeune pousse auprès de laquelle les professionnels IT peuvent chercher des emplois en tant que freelance informatique. À rappeler que ce statut promet divers avantages comme l’indépendance, l’autonomie, la liberté de choix du lieu de travail…
Le malware est livré sous les traits d’un exécutable ELF 64 bits pour Linux. Basé sur le langage de programmation Go, il a été nommé Denonia par la start-up anglaise. Un choix s’expliquant par l’une des adresses web à laquelle le programme essaie d’accéder.
Denonia a été vraisemblablement créé uniquement pour Lambda
Le maliciel se présente principalement comme une enveloppe pour l’application de cryptominage en source ouverte XMRig. Un cheval de Troie auquel les auteurs de logiciels malveillants recourent fréquemment. Plusieurs fois dans le passé, les clients de l’offre serverless d’AWS ont déjà été confrontés à ce programme. Toutefois, les hackers se servaient jusque-là de codes plus simples au lieu d’utiliser des malwares avancés à l’instar de Denonia.
Sur la question de savoir si ce dernier cible seulement Lambda, les chercheurs de Cado Security admettent ne pas avoir la réponse. Néanmoins, de nombreux signaux semblent prouver qu’au minimum le malware vise principalement ce service. Parmi ces indices figure entre autres un message d’erreur qui est apparu durant une étude menée par les experts. En l’absence de variables d’environnement Lambda, Denonia s’était arrêté de fonctionner.
Par ailleurs, les analystes ont trouvé que le malware inclut des librairies logicielles Go tierces en source ouverte :
- Aws-lambda-go ;
- Aws-sdk-go.
Ces bibliothèques ont été développées par AWS lui-même à des fins d’interaction avec Lambda.
De plus en plus de malwares sont écrits en Go
Pour le moment, les chercheurs ne détiennent aucun renseignement sur la manière dont le maliciel se déploie. Cependant, ils estiment que les attaquants pourraient posséder :
- Des clés secrètes compromises ;
- Des logins d’accès à la plateforme du fournisseur de Cloud.
Ces dernières années, les programmes malveillants reposant sur des scripts Go se sont multipliés. Tant ils confèrent aux pirates informatiques une option facile pour :
- Donner une autonomie à leurs maliciels ;
- Leur permettre de fonctionner sur plusieurs plateformes.
En outre, le code Go facilite la diffusion de leur instruction sur des technologies d’informatique sans serveurs. Ces solutions supportent en effet la commande dans de nombreux langages. AWS Lambda est conçu pour être nativement compatible avec Ruby, Python, Node.js, PowerShell, Go et Java.
Selon les chercheurs de Cado Security, Denonia s’avère plus ou moins inoffensif, sachant qu’il ne lance qu’un programme de cryptominage. Néanmoins, préviennent-ils, ce malware révèle la manière dont les hackers :
[…] Utilisent des connaissances avancées spécifiques du cloud pour exploiter une infrastructure cloud complexe […]
Ces spécialistes ajoutent que le programme semble signaler l’avènement de potentielles futures offensives plus dangereuses.