Elastic Security Labs a détaillé l'évolution des rootkits Linux dans une série de recherches en deux parties publiée le 5 mars 2026. Ces menaces modernes exploitent des fonctionnalités du noyau comme eBPF et io_uring pour rester cachées dans les environnements cloud, IoT et serveurs. La recherche met en lumière la manière dont de tels rootkits évitent les méthodes de détection traditionnelles.
Les rootkits Linux sont devenus une menace significative pour les infrastructures modernes, particulièrement avec l'adoption croissante de Linux dans les environnements cloud, l'orchestration de conteneurs, les appareils IoT et l'informatique à haute performance. Traditionnellement concentrés sur les systèmes Windows, les attaquants ont reporté leur attention sur Linux, développant des rootkits qui manipulent le système d'exploitation pour dissimuler les processus, masquer les fichiers, cacher les connexions réseau et supprimer leur présence dans les listes de modules du noyau. Les attaquants ont reporté leur attention sur Linux, développant des rootkits qui manipulent le système d'exploitation pour dissimuler les processus, cacher les fichiers, masquer les connexions réseau et supprimer leur présence dans les listes de modules du noyau. L'objectif principal d'un rootkit est la furtivité, permettant un accès prolongé à des cibles de haute valeur telles que les serveurs gouvernementaux, les infrastructures télécoms et les fournisseurs de cloud sans déclencher d'alertes. Les chercheurs d'Elastic Security Labs ont retracé cette progression à travers les générations : du détournement d'objets partagés du début des années 2000, aux implants de modules kernel chargeables (LKM), jusqu'aux techniques d'évasion basées sur eBPF et propulsées par io_uring. Des exemples concrets incluent TripleCross, Boopkit et RingReaper, documentés en 2025. eBPF, conçu initialement comme une machine virtuelle sûre dans le noyau pour le filtrage de paquets et le traçage, permet aux attaquants d'accrocher les syscalls et d'intercepter les événements du noyau sans charger de modules traditionnels. Ce bytecode passe par le vérificateur du noyau et est compilé JIT, ce qui le rend légitime en apparence. Les programmes eBPF s'attachent aux points de traçage d'entrée des syscalls ou aux hooks des modules de sécurité Linux (LSM) pour une visibilité sur les processus, les fichiers et les réseaux. io_uring, introduit dans Linux 5.1 pour l'E/S asynchrone haute performance, permet le regroupement par lots des opérations via des anneaux de mémoire partagée, réduisant les événements de syscalls observables. Cela aveugle les outils de détection et de réponse sur les points d'extrémité (EDR) qui reposent sur la surveillance des syscalls. Les outils traditionnels comme rkhunter et chkrootkit échouent face à ceux-ci, car les implants eBPF n'apparaissent pas dans /proc/modules et contournent Secure Boot. Elastic recommande de surveiller les syscalls io_uring_enter et io_uring_register anormaux, d'auditer les programmes eBPF chargés, d'utiliser la mémoire forensics, les vérifications d'intégrité du noyau et la télémétrie sous-OS. Les organisations devraient imposer le verrouillage du noyau, la signature des modules et les mises à jour au-delà de la version 6.9, qui perturbent les anciennes méthodes d'accrochage.
