Linux bilgisayar korsanlarından ateş altında
Linux bilgisayar korsanlarından ateş altında
VMware, Çoklu Linux Tabanlı Bulut Ortamlarında Kötü Amaçlı Yazılım Algılama Tehdit Raporu yayınladı. Diğer şeylerin yanı sıra, siber suçluların Linux tabanlı işletim sistemlerine saldırmak için kötü amaçlı yazılımları nasıl kullandığını gösteriyor.
En yaygın bulut işletim sistemi olan Linux, dijital altyapının önemli bir parçasıdır.
Şimdiye kadar kullanılan karşı önlemler, esas olarak Windows tabanlı tehditlere odaklanıyor. bu yanlış. Bunun nedeni, Linux tabanlı işletim sistemlerini hedefleyen kötü amaçlı yazılımların boyutundaki ve karmaşıklığındaki sürekli artıştır. VMware Tehdit Analizi Birimi (TAU), çoklu bulut ortamlarındaki Linux tehditlerini analiz etti. Saldırganlar tarafından kullanılan en yaygın araçlar şunlardır: fidye yazılımı, şifreleme yazılımı ve uzaktan erişim araçları.
Ayrıca kontrol edin:
VMware Baş Çözüm Mühendisi Andrzej Szymczak, “Siber suçlular operasyon alanını radikal bir şekilde genişletiyor ve cephaneliklerine Linux tabanlı işletim sistemlerini hedefleyen kötü amaçlı yazılımları dahil ediyor. Bu, hırsızlık verimliliğini minimum çabayla en üst düzeye çıkarmak için” dedi . Siber suçlular, doğrudan daha karlı bir hedefe gitmek için cihazlara (bilgisayarlar, dizüstü bilgisayarlar, telefonlar), yani uç noktalara bulaşmak yerine, sunucuya yapılan tek bir saldırının büyük karlar getirebileceğini ve verilere, özellikle hassas verilere erişim sağlayabileceğini keşfetti ve işlem gücü. Hem genel hem de özel bulutlar, kritik altyapı hizmetlerine ve gizli verilere erişmek için büyük değer taşır.
Rapordan önemli sonuçlar:
• Fidye yazılımı, sanal ortamlarda iş yüklerini çalıştırmak için kullanılan araçları (ana bilgisayarlar gibi) geliştirir ve hedefler.
• Cryptojacking saldırılarının %89’u XMRig bağlantılı kitaplıkları içeriyor
• Cobalt Strike kullanıcılarının yarısından fazlası siber suçlu olabilir veya en azından aracı yasa dışı olarak kullanabilir.
Bulut fidye yazılımı hedefleri
Buluta yapılan başarılı bir fidye yazılımı saldırısının ciddi sonuçları olabilir.
Bu tür saldırılar, CD Projekt tarafından gösterildiği gibi Polonya’da da meydana geliyor. İki yönlü işlem – veri şifreleme ve hırsızlık, hızlı ve büyük kazanç şansını artırır. Linux tabanlı fidye yazılımlarının geliştiği ve sanal ortamlarda da farklı yazılım türlerini çalıştırmak için kullanılan araçları hedef aldığına dair yeni bir fenomen ortaya çıkıyor.
Bilgisayar korsanları artık hedefe maksimum hasar vermek için bulut ortamlarında daha değerli kaynaklar arıyor. Örnekler arasında, ESXi sunucularındaki görüntüleri şifreleyen Defray777 fidye yazılımı ailesi ve Colonial Pipeline ağlarını felç ederek Amerika Birleşik Devletleri’nde benzin kıtlığına neden olan DarkSide fidye yazılımı grubu sayılabilir.
kripto hırsızlığı
Kolay gelir arayan siber suçlular genellikle kripto para birimlerini hedefler. Siber suçlular, kötü amaçlı yazılıma bir cüzdan çalma mekanizması ekler ya da kripto hırsızlığı olarak bilinen bir saldırıda onu çıkarmak için ele geçirilen CPU gücünü kullanır. Bu saldırıların çoğu Monero Para Birimi (XMR) madenciliğine odaklanıyor.
VMware TAU, kripto para birimlerinin %89’unun XMRig ile ilgili kitaplıkları kullandığını buldu. Bu nedenle, Linux ikili dosyalarında belirli XMRig kitaplıkları ve modülleri algılandığında, bu muhtemelen bir saldırının kanıtıdır. VMware TAU ayrıca, güvenliği atlamanın Linux’a karşı en yaygın kullanılan saldırı yöntemi olduğunu not eder. Ne yazık ki, bu programlar fidye yazılımları gibi bulut ortamlarını bozmaz ve bu nedenle tespit edilmesi zordur.
Kobalt Saldırısı – Saldırı Aracı
Siber suçlular çevrede kontrolü ele geçirmek ve hayatta kalmak için sisteme bir implant yerleştirmeye çalışırlar ve bu da onlara cihaz üzerinde kısmi kontrol sağlar. Etkilenen sistemde uzaktan erişime izin vermek için kötü amaçlı yazılımlar, web kabukları ve uzaktan erişim araçları (RAT’ler) kullanılabilir. Saldırganların kullandığı başlıca araçlardan biri, ticari kırmızı takım penetrasyon testi aracı olan Cobalt Strike ve en son Linux tabanlı sürüm olan Vermilion Strike’dır. Windows için o kadar yaygın bir tehdit ki, Linux uzantısı, siber suçluların mümkün olduğu kadar çok platformu hedef alan hazır araçları kullanma çabalarının altını çiziyor.
Şubat 2020 ile Kasım 2021 arasında, VMware TAU ekibi çevrimiçi olarak 14.000’den fazla aktif Cobalt Strike Team sunucusu keşfetti. Bozuk ve sızdırılmış Cobalt Strike müşteri kimliklerinin birleşik yüzdesi %56’dır; bu, kullanıcıların yarısından fazlasının siber suçlu olabileceği veya en azından Cobalt Strike’ı yasa dışı olarak kullanabileceği anlamına gelir. RAT araçlarının kötü niyetli bir araç olması işletmeler için ciddi bir tehdit oluşturmaktadır.
VMware Çözüm Mühendisliği Kıdemli Direktörü Piotr Kraś, “Analizimizden bu yana, Linux gibi daha fazla fidye yazılımı türünün olduğu gözlemlendi. Bu, örneğin Log4j’deki güvenlik açıklarından yararlanabilecek ek saldırılar olasılığını artırıyor” dedi . “Raporun sonuçları, Linux tabanlı kötü amaçlı yazılımların doğasını daha iyi anlamak ve çoklu bulut ortamlarında artan fidye yazılımı, şifreleme ve RAT tehdidini azaltmak için kullanılabilir. Bulut saldırıları gelişmeye devam ediyor, bu nedenle güvenliği yerleştirmek için Sıfır Güven yaklaşımını benimsememiz gerekiyor. altyapı genelinde ve saldırı için yüzey oluşturan tehdit vektörlerine sistematik olarak hitap edin.”
Sıfır Güven hakkında daha fazla bilgi edinmek ister misiniz? Sizi Computerworld Tech Trends’in iki özel editoryal bölümünü dinlemeye davet ediyoruz: “Trust Zero – There Will Be No Different Truth” ve “Security? Let’s Get to Work…”