Wiele organizacji wybiera Linuksa dla swoich serwerów i systemów o znaczeniu strategicznym, głównie dlatego, że jest on uważany za bezpieczniejszy i mniej podatny na cyberzagrożenia niż znacznie popularniejszy Windows. I choć w przypadku masowych ataków z wykorzystaniem szkodliwego oprogramowania jest to prawda, nie można tego samego powiedzieć, jeśli chodzi o zaawansowane, długotrwałe zagrożenia (APT). Badacze z firmy Kaspersky odkryli, że coraz więcej cybergangów przeprowadza
ataki ukierunkowane na urządzenia oparte na Linuksie, rozwijając jednocześnie więcej narzędzi przeznaczonych dla tego systemu.
Na przestrzeni ostatnich ośmiu lat zaobserwowano kilkanaście ugrupowań APT wykorzystujących szkodliwe oprogramowanie dla systemu Linux lub pewne moduły oparte na Linuksie. Wśród nich znalazły się znane cybergangi takie jak Barium, Sofacy, the Lamberts oraz Equation, jak również nowsze kampanie, takie jak LightSpy czy WellMess. Rozszerzenie własnego arsenału o narzędzia dla Linuksa umożliwia ugrupowaniom cyberprzestępczym większą skuteczność i szerszy zasięg przeprowadzanych operacji.
W wielu krajach można zauważyć wyraźny trend w kierunku wykorzystywania Linuksa jako głównego środowiska w dużych korporacjach, jak również w podmiotach rządowych, co skłania ugrupowania cyberprzestępcze do tworzenia szkodliwego oprogramowania dla tej platformy.
Zagrożenie zwiększa dodatkowo krążący na temat Linuksa mit, jakoby ze względu na status mniej popularnego systemu operacyjnego był on rzadziej atakowany przez szkodliwe oprogramowanie. Chociaż ataki ukierunkowane na systemy oparte na Linuksie wciąż zdarzają się rzadko, szkodliwe oprogramowanie tworzone dla tego systemu istnieje, łącznie backdoorami, rootkitami, a nawet uszytymi na miarę exploitami wykorzystującymi luki w zabezpieczeniach. Ponadto niewielka liczba ataków może dawać mylne wyobrażenie rzeczywistego zagrożenia, ponieważ skuteczne złamanie zabezpieczeń serwera działającego pod kontrolą Linuksa często prowadzi do poważnych konsekwencji. Atakujący mogą nie tylko uzyskać dostęp do zainfekowanego urządzenia, ale również do punktów końcowych działających pod kontrolą systemu Windows lub macOS, co pozostanie niezauważone.
Jako przykład można przytoczyć rosyjskojęzyczne ugrupowanie Turla, znane z zaawansowanych technik kradzieży danych, które z czasem znacząco zmodyfikowało swój zestaw narzędzi m.in. o backdoory dla systemu Linux. Nowa modyfikacja backdoora Penguin_x64, o której informowano wcześniej tego roku, zainfekowała w lipcu 2020 r., według telemetrii firmy Kaspersky, dziesiątki serwerów w Europie i Stanach Zjednoczonych.
Innym przykładem jest Lazarus, koreańskojęzyczne ugrupowanie APT, które nieustannie rozszerza swój zestaw narzędzi i rozwija szkodliwe oprogramowanie przeznaczone dla systemów operacyjnych innych niż Windows. Firma Kaspersky informowała niedawno o wieloplatformowym zestawie narzędzi o nazwie MATA, a w czerwcu 2020 r. badacze analizowali nowe próbki związane z kampaniami AppleJeus oraz TangoDaiwbo tego ugrupowania, wykorzystane w atakach finansowych i szpiegowskich. Wśród badanych próbek znajdowało się szkodliwe oprogramowanie dla systemu Linux.
– Trend w kierunku udoskonalania zestawów narzędzi APT został wielokrotnie zidentyfikowany przez naszych ekspertów w przeszłości i narzędzia tworzone dla Linuksa nie są wyjątkiem. W celu zapewnienia lepszej ochrony swoim systemom działy IT oraz bezpieczeństwa częściej decydują się na tę platformę, a w odpowiedzi ugrupowania cyberprzestępcze tworzą wyrafinowane narzędzia, które potrafią ją atakować. Eksperci ds. bezpieczeństwa powinni uwzględnić ten trend i zastosować dodatkowe środki w celu ochrony swoich serwerów i stacji roboczych – powiedział Jurij Namiestnikow z Globalnego Zespołu ds. Badan i Analiz firmy Kaspersky.
Porady bezpieczeństwa
Badacze z firmy Kaspersky zalecają następujące środki pozwalające uniknąć ataku ukierunkowanego ataku na system Linux przeprowadzonego przez znane bądź nieznane ugrupowanie cyberprzestępcze:
- Prowadź listę zaufanych źródeł oprogramowania i unikaj korzystania z niezaszyfrowanych kanałów aktualizacji.
- Nie uruchamiaj plików binarnych ani skryptów pochodzących z niezaufanych źródeł. Szeroko reklamowane sposoby instalacji programów przy pomocy poleceń takich jak „curl install-url | sudo bash” stanowią katastrofę z punktu widzenia bezpieczeństwa.
- Upewnij się, czy Twoja procedura aktualizacji jest skuteczna, i skonfiguruj automatyczne aktualizacje bezpieczeństwa.
- Poświęć czas na poprawną konfigurację zapory sieciowej: dopilnuj, aby rejestrowała aktywność sieci.
- Stosuj uwierzytelnienie SSH oparte na kluczu i chroń klucze przy użyciu haseł.
- Stosuj uwierzytelnienie dwuskładnikowe i przechowuj poufne klucze na zewnętrznych tokenach (np. Yubikey).
- Stosuj system monitorujący zdarzenia w sieci lokalnej w celu niezależnego kontrolowania i analizowania komunikacji sieciowej swoich systemów Linux.
- Utrzymuj integralność systemowych plików wykonywalnych i regularnie przeglądaj zmiany w plikach konfiguracji.
- Bądź przygotowany na ataki fizyczne / osób z wewnątrz: stosuj pełne szyfrowanie dysku i umieść na krytycznym sprzęcie taśmę ochronną umożliwiającą łatwe stwierdzenie naruszenia.
- Przeprowadzaj inspekcje systemu i sprawdzaj dzienniki w celu wykrycia oznak ataków.
- Przeprowadzaj testy penetracyjne na swojej konfiguracji Linuksa.
- Stosuj wyspecjalizowane rozwiązanie bezpieczeństwa zapewniające ochronę dla systemu Linux, taką jak np. Integrated Endpoint Security firmy Kaspersky. Oferuje ono funkcję ochrony sieci oraz WWW umożliwiającą wykrywanie phishingu, szkodliwych stron internetowych oraz ataków sieciowych, jak również kontrolę urządzeń, pozwalając użytkownikom definiować reguły przenoszenia danych na inne urządzenia.
- Stosuj rozwiązanie takie jak Kaspersky Hybrid Cloud Security, które zapewnia ochronę środowisk programistycznych, umożliwiając integrację bezpieczeństwa z platformami CI/CD i kontenerami, a także skanowanie obrazów w celu ochrony przed atakami na łańcuch dostaw.