يعد Linux ، باعتباره نظام التشغيل السحابي الأكثر انتشارًا ، جزءًا أساسيًا من البنية التحتية الرقمية.

تركز الإجراءات المضادة المستخدمة حتى الآن بشكل أساسي على التهديدات المستندة إلى Windows. هذا خطأ. هذا بسبب استمرار زيادة حجم وتعقيد البرامج الضارة التي تستهدف أنظمة التشغيل المستندة إلى Linux. قامت وحدة تحليل تهديدات VMware (TAU) بتحليل تهديدات Linux في البيئات متعددة السحابة. الأدوات الأكثر شيوعًا التي يستخدمها المهاجمون هي: برامج الفدية وبرامج التشفير وأدوات الوصول عن بُعد.

تحقق أيضًا من:

“مجرمو الإنترنت يوسعون بشكل جذري مجال العمليات ويدرجون في ترسانتهم البرامج الضارة التي تستهدف أنظمة التشغيل المستندة إلى Linux. هذا هو لتعظيم كفاءة السطو بأقل جهد ممكن “، قال Andrzej Szymczak ، مهندس حلول رئيسي في VMware. بدلاً من إصابة الأجهزة (أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة والهواتف) ، أي نقاط النهاية ، للانتقال على التوالي إلى هدف أكثر ربحية ، اكتشف مجرمو الإنترنت أن هجومًا واحدًا على الخادم يمكن أن يحقق أرباحًا ضخمة ويضمن الوصول إلى البيانات ، وخاصة البيانات الحساسة ، وقوة الحوسبة. كل من السحابات العامة والخاصة ذات قيمة كبيرة للوصول إلى خدمات البنية التحتية الحيوية والبيانات السرية.

الاستنتاجات الرئيسية من التقرير:

• تتطور برامج الفدية وتستهدف الأدوات (مثل المضيفين) المستخدمة لتشغيل أحمال العمل في البيئات الافتراضية.

• 89٪ من هجمات الـ Cryptojacking تتضمن مكتبات مرتبطة بـ XMRig

• قد يكون أكثر من نصف مستخدمي Cobalt Strike مجرمي الإنترنت أو على الأقل يستخدمون الأداة بشكل غير قانوني.

يستهدف برنامج الفدية السحابة

يمكن أن يكون لهجوم برامج الفدية الناجحة على البيئة السحابية عواقب وخيمة.

وتحدث مثل هذه الهجمات أيضًا في بولندا ، كما تجلى في شركة CD Projekt. عملية ثنائية الاتجاه – يعمل تشفير البيانات والسرقة على زيادة فرص الربح السريع والكبير. تظهر ظاهرة جديدة أن برامج الفدية المستندة إلى Linux تتطور وتستهدف الأدوات المستخدمة لتشغيل أنواع مختلفة من البرامج في البيئات الافتراضية أيضًا.

يبحث المتسللون الآن عن موارد أكثر قيمة في البيئات السحابية لإحداث أكبر قدر من الضرر للهدف. تشمل الأمثلة عائلة Defray777 ransomware ، التي قامت بتشفير الصور على خوادم ESXi ، ومجموعة DarkSide ransomware ، التي شلّت شبكات Colonial Pipeline ، مما تسبب في نقص البنزين في الولايات المتحدة.

كريبتوجاكينج

غالبًا ما يستهدف مجرمو الإنترنت الذين يبحثون عن دخل سهل العملات المشفرة. يقوم مجرمو الإنترنت إما بإدخال آلية لسرقة المحفظة في البرامج الضارة أو استخدام طاقة وحدة المعالجة المركزية الملتقطة لاستخراجها في هجوم يُعرف باسم cryptojacking. تركز معظم هذه الهجمات على تعدين Monero Currency (XMR).

وجد VMware TAU أن 89٪ من العملات المشفرة كانت تستخدم مكتبات ذات صلة بـ XMRig. لهذا السبب ، عندما يتم اكتشاف مكتبات ووحدات نمطية معينة لـ XMRig في ثنائيات Linux ، فمن المحتمل أن يكون هذا دليلًا على حدوث اختراق. لاحظ VMware TAU أيضًا أن تجنب الأمان هو الأسلوب الأكثر استخدامًا في الهجمات ضد Linux. لسوء الحظ ، لا تؤدي هذه البرامج إلى تعطيل البيئات السحابية تمامًا مثل برامج الفدية الضارة ، وبالتالي يصعب اكتشافها.

كوبالت سترايك – أداة هجوم

من أجل السيطرة والبقاء في البيئة ، يحاول مجرمو الإنترنت تثبيت غرسة في النظام ، مما يمنحهم سيطرة جزئية على الجهاز. يمكن استخدام البرامج الضارة وقذائف الويب وأدوات الوصول عن بُعد (RAT) على النظام المتأثر للسماح بالوصول عن بُعد. إحدى الأدوات الأساسية التي يستخدمها المهاجمون هي Cobalt Strike ، وهي أداة اختبار اختراق الفريق الأحمر التجاري ، وأحدث نسخة تعتمد على Linux ، Vermilion Strike. إنه تهديد منتشر على نظام التشغيل Windows لدرجة أن امتداد Linux له يسلط الضوء على جهود مجرمي الإنترنت لاستخدام الأدوات المتاحة بسهولة والتي تستهدف أكبر عدد ممكن من الأنظمة الأساسية.

بين فبراير 2020 ونوفمبر 2021 ، اكتشف فريق VMware TAU أكثر من 14000 خادم Cobalt Strike Team نشط على الإنترنت. تبلغ النسبة المئوية المجمعة لمعرفات عملاء Cobalt Strike المكسورة والمتسربة 56 ٪ ، مما يعني أن أكثر من نصف المستخدمين قد يكونون مجرمي الإنترنت أو على الأقل يستخدمون Cobalt Strike بشكل غير قانوني. تشكل حقيقة أن أدوات RAT أداة شريرة تهديدًا خطيرًا للشركات.

وقال: “منذ تحليلنا ، لوحظ أن المزيد من أنواع برامج الفدية لها إعجاب لينكس. وهذا يثير احتمال حدوث هجمات إضافية يمكنها استغلال نقاط الضعف في Log4j على سبيل المثال” Piotr Kraś ، مدير أول هندسة الحلول في VMware. “يمكن استخدام استنتاجات التقرير لفهم طبيعة البرامج الضارة المستندة إلى Linux بشكل أفضل والتخفيف من التهديد المتزايد لبرامج الفدية والتشفير و RAT على البيئات متعددة الأوساط السحابية. تستمر هجمات السحابة في التطور ، لذا يجب علينا اعتماد نهج Zero Trust لتضمين الأمان في جميع أنحاء البنية التحتية والتصدي بشكل منهجي لموجهات التهديد التي تخلق السطح للهجوم “.

هل تريد معرفة المزيد عن Zero Trust؟ ندعوك للاستماع إلى حلقتين تحريرتين خاصتين من برامج Computerworld Tech Trends: “ثقة معدومة – لن تكون هناك حقيقة مختلفة” و “الأمن؟ هيا بنا إلى العمل …”