В связи с ростом популярности платформ с открытым исходным кодом, исследователи «Лаборатории Касперского» предупреждают, что хакеры всё чаще атакуют устройства на базе Linux с помощью инструментов, специально разработанных для использования уязвимостей в платформе.
Windows по-прежнему чаще является объектом массовых атак вредоносного ПО. Но есть и другие примеры, когда дело доходит до сложных угроз (APT), и когда атакующий — зачастую спонсируемая государством группа хакеров — налаживает длительное присутствие в сети.
По словам «Лаборатории Касперского», эти злоумышленники всё больше диверсифицируют свои арсеналы, добавляя инструменты для взлома Linux, расширяя тем самым перечень систем, на которые они могут нацеливаться. Многие организации выбирают Linux для стратегически важных серверов и систем. В связи со «значительной тенденцией» к использованию Linux в качестве десктопной платформы крупными предприятиями, а также государственными органами, злоумышленники, в свою очередь, разрабатывают всё больше вредоносных программ для этой платформы.
«Тенденция к совершенствованию наборов инструментов APT в прошлом неоднократно фиксировалась нашими экспертами, и инструменты, ориентированные на Linux, не являются исключением», — отметил Юрий Наместников, руководитель группы глобальных исследований и анализа «Лаборатории Касперского» в России. «Стремясь защитить свои системы, ИТ-отделы и отделы безопасности используют Linux чаще, чем раньше. Злоумышленники реагируют на это созданием сложных инструментов, способных проникнуть в такие системы», — добавил он.
По данным «Лаборатории Касперского», более десятка APT-атакующих использовали вредоносные программы для Linux или некоторые модули на базе Linux. В их числе вредоносные программы LightSpy и WellMess, обе нацелены на устройства на Windows и Linux. Также было обнаружено, что вредоносное ПО LightSpy позволяет атаковать устройства на iOS и Mac. Хотя целевые атаки на системы на базе Linux по-прежнему редки, для желающих их произвести имеется целый набор веб-шеллов, бэкдоров, руткитов и пользовательских эксплойтов.
Аналитики также предположили, что небольшое количество зарегистрированных атак не отражает степень опасности, которую они представляют, указав, что компрометация отдельного сервера на Linux «часто приводит к серьёзным последствиям», поскольку вредоносное ПО распространялось по сети на конечные точки под управлением Windows или macOS, «тем самым обеспечивая более широкий доступ для злоумышленников, который может остаться незамеченным».
Например, влиятельная русскоязычная группа хакеров Turla за последние годы значительно усовершенствовала свой набор инструментов, включив использование бэкдоров Linux. По словам «Лаборатории Касперского», новая модификация бэкдора Penguin x64 Linux, о которой сообщалось ранее в 2020 году, уже затронула десятки серверов в Европе и США.
Ещё один пример — северокорейская APT-группировка Lazarus, которая продолжает диверсифицировать свой набор инструментов и разрабатывать вредоносное ПО не только для Windows, но и для других операционных систем. «Лаборатория Касперского» недавно сообщила о мультиплатформенном вредоносном фрейворке MATA, который использует Lazarus, а в июне 2020 года исследователи проанализировали новые образцы, связанные с операциями Operation AppleJeus и TangoDaiwbo, запущенными в финансовых и шпионских целях. Изученные образцы включали вредоносное ПО для Linux.
Для снижения риска того, что системы на Linux станут жертвами атак, рекомендуется принять ряд мер, включая такие простые шаги, как обеспечение правильной настройки брандмауэров и блокирование неиспользуемых портов, автоматизация обновлений безопасности и использование специального решения безопасности с защитой Linux.
Организации должны дополнительно вести учёт надёжных источников программного обеспечения и избегать использования незашифрованных каналов обновления; применять SSH-аутентификацию на основе ключей и защищать ключи паролями; использовать двухфакторную аутентификацию и применять аппаратные токены. Также следует избегать запуска бинарников и скриптов из ненадёжных источников.
«Мы советуем специалистам по кибербезопасности учитывать эту тенденцию и внедрять дополнительные меры для защиты своих серверов и рабочих станций», — сообщил Наместников.