Ze swoim statusem najpopularniejszego systemu operacyjnego w chmurze, ugruntowanym ponad wszelką wątpliwość, Linux stał się podstawową częścią cyfrowej infrastruktury organizacyjnej na całym świecie, ale jest również otwierając nowe drogi ataku dla złośliwych aktorówa branża bezpieczeństwa musi się pospieszyć i być w tym mądrym.
To jest zgodnie z nowo opublikowanym raportem z Jednostka analizy zagrożeń firmy VMware (TAU), który szczegółowo opisuje, w jaki sposób złośliwi aktorzy wykorzystują złośliwe oprogramowanie do atakowania systemów operacyjnych opartych na systemie Linux. W raporcie Ujawnianie złośliwego oprogramowania w środowiskach wielochmurowych opartych na systemie Linuxpokazało, że obecne środki zaradcze są nadal mocno skoncentrowane na zwalczaniu zagrożeń opartych na systemie Windows, co ostatecznie skutkuje tym, że wiele wdrożeń chmur publicznych i prywatnych jest narażonych na ataki, które w innym przypadku byłyby łatwe do powstrzymania.
„Cyberprzestępcy radykalnie rozszerzają swój zakres i dodają złośliwe oprogramowanie, które atakuje systemy operacyjne oparte na Linuksie, do swojego zestawu narzędzi do ataków, aby zmaksymalizować swój wpływ przy jak najmniejszym wysiłku” – powiedział Giovanni Vigna, starszy dyrektor ds. analizy zagrożeń w VMware.
„Zamiast infekować punkt końcowy, a następnie nawigować do celu o wyższej wartości, cyberprzestępcy odkryli, że narażenie na szwank pojedynczego serwera może zapewnić ogromne korzyści i dostęp, którego szukają. Atakujący postrzegają zarówno chmury publiczne, jak i prywatne jako cele o wysokiej wartości ze względu na dostęp, jaki zapewniają do usług infrastruktury krytycznej i poufnych danych.
„Niestety, obecne złośliwe oprogramowanie koncentruje się głównie na zwalczaniu zagrożeń opartych na systemie Windows, pozostawiając wiele wdrożeń chmur publicznych i prywatnych podatnych na ataki na systemy operacyjne oparte na systemie Linux”.
Opracowując swój raport, TAU przeanalizowała największe zagrożenia dla systemów Linux w środowiskach wielochmurowych – oprogramowanie ransomware, koparki kryptowalut i narzędzia zdalnego dostępu.
Udane ataki ransomware w środowiskach chmurowych mogą być szczególnie niszczycielskie, zwłaszcza w połączeniu z technikami podwójnego, a teraz potrójnego wymuszenia, powiedział VMware.
Raport ujawnił dowody nowych osiągnięć w zakresie oprogramowania ransomware opartego na systemie Linux, które jest teraz w stanie atakować obrazy hostów wykorzystywane do wirowania obciążeń w środowiskach zwirtualizowanych. Przykłady obejmują rodzina oprogramowania ransomware DarkSide i Defray777który szyfruje obrazy hostów na serwerach ESXi.
Firma VMware stwierdziła, że jest to wyraźny znak, że osoby atakujące zorientowały się, że muszą uderzyć w bardziej wartościowe zasoby w środowisku chmury.
Wydobywanie kryptowalut może być rozsądnie uważane za zagrożenie o mniejszym znaczeniu dla środowisk chmurowych niż oprogramowanie ransomware. Z pewnością nie zakłóca całkowicie środowisk chmurowych w ten sam sposób – a zatem może być trudniejsze do wykrycia.
Jest to coś, co złośliwi aktorzy mogą wykorzystać na swoją korzyść, celując w szybką nagrodę za pomocą jednego z dwóch podejść – zazwyczaj obejmują one funkcję kradzieży portfela kryptowalut w złośliwym oprogramowaniu lub zarabiają na skradzionych cyklach procesora w celu wydobywania kryptowalut, głównie skupionych na Monero (XMR). .
VMware powiedział, że 89% kopaczy kryptowalut korzysta z bibliotek powiązanych z XMRig, więc jeśli takie biblioteki lub moduły zostaną zidentyfikowane w plikach binarnych Linuksa, można to ogólnie uznać za dowód, że środowisko zostało przejęte.
Warianty Cobalt Strike również zdominują Linuksa
Narzędzie i platforma do testowania penetracji Cobalt Strike jest od dawna wybrane narzędzie atakującego podczas atakowania na środowiska Windows, ale w zeszłym roku okazało się, że wersja poddana inżynierii wstecznej – nazwana Vermilion Strike – został znaleziony jako celownik dla Linuksaa teraz wydaje się, że również tutaj staje się preferowaną opcją dla złośliwych podmiotów.
Firma VMware poinformowała, że znalazła w Internecie ponad 14 000 aktywnych serwerów zespołu Cobalt Strike w okresie od lutego 2020 r. do listopada 2021 r., przy czym łączny odsetek pękniętych i wyciekających identyfikatorów klientów Cobalt Strike wynosi 56%, co sugeruje, że większość użytkowników Cobalt Strike jest albo cyber przestępcy lub nielegalnie z niego korzystali.
„Odkąd przeprowadziliśmy naszą analizę, zaobserwowano, że jeszcze więcej rodzin oprogramowania ransomware przenosi się do złośliwego oprogramowania opartego na systemie Linux, z potencjalnymi dodatkowymi atakami, które mogą wykorzystać luki w Log4j” — powiedział Brian Baskin, kierownik ds. badań nad zagrożeniami w VMware.
„Odkrycia zawarte w tym raporcie można wykorzystać do lepszego zrozumienia natury złośliwego oprogramowania opartego na systemie Linux i złagodzenia rosnącego zagrożenia, jakie stanowi oprogramowanie ransomware, wydobywanie kryptowalut i RAT w środowiskach wielochmurowych.
„Ponieważ ataki skierowane na chmurę wciąż ewoluują, organizacje powinny przyjąć podejście zerowego zaufania, aby osadzać zabezpieczenia w całej swojej infrastrukturze i systematycznie reagować na wektory zagrożeń, które tworzą ich powierzchnię ataku”.