Общие темы

Linux под огнем хакеров

Linux под огнем хакеров

Компания VMware опубликовала отчет об угрозах обнаружения вредоносных программ в нескольких облачных средах на базе Linux. Среди прочего, он показывает, как киберпреступники используют вредоносное ПО для атак на операционные системы на базе Linux.

Linux, как самая распространенная облачная операционная система, является неотъемлемой частью цифровой инфраструктуры.

Используемые до сих пор меры противодействия в основном сосредоточены на угрозах для Windows. Это ошибка. Это связано с продолжающимся увеличением размера и сложности вредоносных программ, нацеленных на операционные системы на базе Linux. Группа анализа угроз VMware (TAU) проанализировала угрозы Linux в мультиоблачных средах. Наиболее распространенные инструменты, используемые злоумышленниками: программы-вымогатели, программное обеспечение для шифрования и инструменты удаленного доступа.

Проверьте также:

«Киберпреступники радикально расширяют поле деятельности и включают в свой арсенал вредоносное ПО, нацеленное на операционные системы на базе Linux. Это позволяет максимизировать эффективность взлома с минимальными усилиями», — сказал Анджей Шимчак, главный инженер по решениям в VMware . Вместо того, чтобы заражать устройства (компьютеры, ноутбуки, телефоны), то есть конечные точки, чтобы перейти сразу к более выгодной цели, киберпреступники обнаружили, что одна атака на сервер может принести огромную прибыль и обеспечить доступ к данным, особенно конфиденциальным, и вычислительная мощность. Как общедоступные, так и частные облака имеют большое значение для доступа к критически важным службам инфраструктуры и конфиденциальным данным.

Основные выводы из отчета:

• Программы-вымогатели развиваются и нацелены на инструменты (например, хосты), используемые для выполнения рабочих нагрузок в виртуальных средах.

• 89 % атак Cryptojacking связаны с библиотеками, связанными с XMRig.

• Более половины пользователей Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать инструмент нелегально.

Цели облачных программ-вымогателей

Успешная атака программы-вымогателя на облако может иметь серьезные последствия.

Подобные атаки происходят и в Польше, как показывает CD Projekt. Двусторонняя работа — шифрование данных и кража увеличивают шансы на быструю и большую прибыль. Появляется новое явление, заключающееся в том, что программы-вымогатели на базе Linux развиваются и нацелены на инструменты, используемые для запуска различных типов программного обеспечения в виртуальных средах.

Хакеры теперь ищут более ценные ресурсы в облачных средах, чтобы нанести максимальный ущерб цели. Примеры включают семейство программ-вымогателей Defray777, которые шифровали изображения на серверах ESXi, и группу программ-вымогателей DarkSide, которая парализовала сети Colonial Pipeline, вызвав нехватку бензина в Соединенных Штатах.

криптоджекинг

Киберпреступники, ищущие легкий доход, часто нацелены на криптовалюты. Киберпреступники либо встраивают в вредоносное ПО механизм кражи кошелька, либо используют захваченную мощность процессора для ее извлечения в ходе атаки, известной как криптоджекинг. Большинство этих атак сосредоточено на майнинге валюты Monero (XMR).

VMware TAU обнаружил, что 89% криптовалют используют библиотеки, связанные с XMRig. По этой причине, когда определенные библиотеки и модули XMRig обнаруживаются в бинарных файлах Linux, это, вероятно, свидетельствует о взломе. VMware TAU также отмечает, что обход системы безопасности является наиболее часто используемым методом атак на Linux. К сожалению, эти программы не нарушают работу облачных сред, как программы-вымогатели, и поэтому их трудно обнаружить.

Cobalt Strike — инструмент атаки

Чтобы получить контроль и выжить в окружающей среде, киберпреступники пытаются установить в систему имплант, дающий им частичный контроль над устройством. В уязвимой системе можно использовать вредоносные программы, веб-оболочки и инструменты удаленного доступа (RAT), чтобы разрешить удаленный доступ. Одним из основных инструментов, используемых злоумышленниками, является Cobalt Strike, коммерческий инструмент тестирования на проникновение Red Team, и последняя версия Vermilion Strike для Linux. Это настолько всепроникающая угроза для Windows, что ее расширение для Linux подчеркивает усилия киберпреступников по использованию легкодоступных инструментов, нацеленных на как можно больше платформ.

В период с февраля 2020 г. по ноябрь 2021 г. команда VMware TAU обнаружила в сети более 14 000 активных серверов Cobalt Strike Team. Совокупный процент сломанных и утекших идентификаторов клиентов Cobalt Strike составляет 56%, а это означает, что более половины пользователей могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike нелегально. Тот факт, что RAT-инструменты являются вредоносными, представляет серьезную угрозу для бизнеса.

«После нашего анализа было замечено, что больше типов программ-вымогателей, таких как Linux. Это повышает вероятность дополнительных атак, которые могут использовать уязвимости, например, в Log4j», — сказал Петр Крась, старший директор по разработке решений в VMware . «Выводы отчета могут быть использованы для лучшего понимания природы вредоносных программ на базе Linux и смягчения растущей угрозы программ-вымогателей, шифрования и RAT в мультиоблачных средах. Облачные атаки продолжают развиваться, поэтому мы должны принять подход «Нулевого доверия» для обеспечения безопасности. по всей инфраструктуре и систематически устранять векторы угроз, которые создают поверхность для атак».

Хотите узнать больше о Zero Trust? Приглашаем вас послушать два специальных редакционных выпуска журнала Computerworld Tech Trends: «Ноль доверия — другой правды не будет» и «Безопасность? Приступим к работе…»

 

Related Articles

Back to top button