Com a crescente popularidade das plataformas de código aberto, os pesquisadores da Kaspersky Lab alertam que os hackers estão cada vez mais atacando dispositivos baseados em Linux com ferramentas projetadas especificamente para explorar vulnerabilidades na plataforma.
O Windows continua a ser alvo de ataques maciços de malware. Mas existem outros exemplos quando se trata de ameaças sofisticadas (APTs) e quando um invasor – geralmente um grupo de hackers patrocinado pelo governo – constrói uma presença de longo prazo na rede.
De acordo com a Kaspersky Lab, esses invasores estão diversificando cada vez mais seus arsenais adicionando ferramentas de hacking do Linux, expandindo assim a lista de sistemas que eles podem atacar. Muitas organizações escolhem o Linux para seus servidores e sistemas estratégicos. Em conexão com a “tendência significativa” de uso do Linux como plataforma de desktop por grandes empresas e agências governamentais, os invasores, por sua vez, estão desenvolvendo cada vez mais malware para essa plataforma.
«A tendência de melhorar os kits de ferramentas APT foi repetidamente registrada por nossos especialistas no passado, e as ferramentas orientadas para Linux não são exceção ”, disse Yuri Namestnikov, chefe da equipe global de pesquisa e análise da Kaspersky Lab na Rússia. “Em um esforço para proteger seus sistemas, os departamentos de TI e segurança usam o Linux com mais frequência do que nunca. Os invasores estão respondendo criando ferramentas sofisticadas que podem penetrar em tais sistemas ”, acrescentou.
De acordo com a Kaspersky Lab, mais de uma dúzia de atacantes APT usaram malware Linux ou alguns módulos baseados em Linux. Isso inclui malware LightSpy e WellMess, ambos direcionados a dispositivos Windows e Linux. Também foi descoberto que o malware LightSpy pode atacar dispositivos iOS e Mac. Embora os ataques direcionados a sistemas baseados em Linux ainda sejam raros, há uma variedade de shells da web, backdoors, rootkits e exploits personalizados disponíveis para aqueles que desejam iniciá-los.
Os analistas também sugeriram que o pequeno número de ataques relatados não refletia a gravidade que representam, apontando que comprometer um único servidor Linux “geralmente tem consequências graves”, pois o malware se espalha pela rede para endpoints executando Windows ou macOS. proporcionando assim um acesso mais amplo para intrusos que podem passar despercebidos. “
Por exemplo, o influente grupo de hackers de língua russa Turla fez melhorias significativas em sua caixa de ferramentas nos últimos anos para incluir o uso de backdoors Linux. De acordo com a Kaspersky Lab, uma nova modificação do backdoor Penguin x64 Linux, anunciada no início de 2020, já afetou dezenas de servidores na Europa e nos Estados Unidos.
Outro exemplo é o grupo APT norte-coreano Lazarus, que continua diversificando sua caixa de ferramentas e desenvolvendo malware não apenas para Windows, mas também para outros sistemas operacionais. A Kaspersky Lab relatou recentemente sobre a estrutura MATA maliciosa de multiplataforma que o Lazarus usa e, em junho de 2020, os pesquisadores analisaram novas amostras associadas à Operação AppleJeus e TangoDaiwbo, lançadas para fins financeiros e de espionagem. As amostras estudadas incluíram malware Linux.
Para reduzir o risco de sistemas Linux serem vítimas de ataques, é recomendado que você execute uma série de etapas, incluindo etapas simples, como garantir que seus firewalls estejam configurados corretamente e bloquear portas não utilizadas, automatizar atualizações de segurança e usar uma solução de segurança protegida por Linux dedicada.
Além disso, as organizações devem manter o controle de fontes confiáveis de software e evitar o uso de canais de atualização não criptografados; usar autenticação baseada em chave SSH e chaves protegidas por senha; use autenticação de dois fatores e tokens de hardware. Você também deve evitar a execução de binários e scripts de fontes não confiáveis.
«Aconselhamos os especialistas em segurança cibernética a levar em conta essa tendência e implementar medidas adicionais para proteger seus servidores e estações de trabalho ”, disse Namestnikov.