0
0
Em um momento em que o uso de plataformas de código aberto está em ascensão, pesquisadores da Kaspersky alertaram que hackers e bandidos sofisticados estão cada vez mais visando dispositivos baseados em Linux – usando ferramentas especificamente projetadas para explorar vulnerabilidades na plataforma.
Embora o Windows tende a ser mais frequentemente alvo de ataques de malware em massa, isso nem sempre é o caso quando se trata de ameaças persistentes avançadas (APTs), nas quais um intruso – muitas vezes um grupo patrocinado por estados-nação ou estatal – estabelece uma presença de longo prazo em uma rede.
De acordo com a Kaspersky, esses atacantes estão diversificando cada vez mais seus arsenais para conter ferramentas Linux, dando-lhes um alcance mais amplo sobre os sistemas que podem atingir. Muitas organizações escolhem o Linux para servidores e sistemas estrategicamente importantes, e com uma “tendência significativa” para o uso do Linux como ambiente de desktop por grandes empresas, bem como órgãos governamentais, os atacantes estão, por sua vez, desenvolvendo mais malware para a plataforma.
“A tendência de melhorar os conjuntos de ferramentas APT foi identificada por nossos especialistas muitas vezes no passado, e ferramentas focadas no Linux não são exceção”, disse Yury Namestnikov, chefe da equipe global de pesquisa e análise da Kaspersky na Rússia.
“Com o objetivo de proteger seus sistemas, os departamentos de TI e segurança estão usando o Linux com mais frequência do que antes. Os atores de ameaças estão respondendo a isso com a criação de ferramentas sofisticadas que são capazes de penetrar tais sistemas.”
De acordo com a Kaspersky, mais de uma dúzia de atores APT foram observados para usar malware Linux ou alguns módulos baseados em Linux.
Mais recentemente, isso incluiu as campanhas de malware LightSpy e WellMess, ambas voltadas para dispositivos Windows e Linux. O malware LightSpy também foi encontrado capaz de atingir dispositivos iOS e Mac.
Embora os ataques direcionados a sistemas baseados em Linux ainda sejam incomuns, um conjunto de webshells, backdoors, rootkits e explorações personalizadas estão prontamente disponíveis para aqueles que procuram usá-los.
A Kaspersky também sugeriu que o pequeno número de ataques registrados não era representativo do perigo que eles representavam, apontando que o compromisso de um único servidor Linux “muitas vezes leva a consequências significativas”, já que o malware viajava pela rede para pontos finais executando o Windows ou macOS, “fornecendo assim acesso mais amplo para invasores que podem passar despercebidos”.
O prolífico grupo de língua russa Turla, por exemplo, mudou significativamente seu porte de ferramentas ao longo dos anos, incluindo o uso de backdoors Linux. De acordo com a Kaspersky, uma nova modificação do backdoor Penguin x64 Linux, relatada no início de 2020, já afetou dezenas de servidores na Europa e nos EUA.
Outro exemplo é o Lazarus, um grupo APT de língua coreana, que continua a diversificar seu lado de ferramentas e desenvolver malware não-Windows. A Kaspersky relatou recentemente sobre a estrutura multiplataforma chamada MATA e, em junho de 2020, pesquisadores analisaram novas amostras ligadas às campanhas AppleJeus e TangoDaiwbo, usadas em ataques financeiros e de espionagem. As amostras estudadas incluíam malware Linux.
Uma série de medidas podem ser tomadas para mitigar os riscos de os sistemas Linux serem vítimas de ataques, incluindo medidas simples como garantir que os firewalls sejam configurados corretamente e portas não uso sejam bloqueadas, automatizando atualizações de segurança e usando uma solução de segurança dedicada com proteção Linux.
Além disso, as organizações devem manter uma lista de fontes de software confiáveis e evitar o uso de canais de atualização não criptografados; usar autenticação SSH baseada em teclas e proteger chaves com senhas; usar autenticação de dois fatores e armazenar chaves sensíveis em dispositivos de token externos; e evitar executar binários e scripts de fontes não confiáveis.
“Aconselhamos os especialistas em segurança cibernética a levar essa tendência em conta e implementar medidas adicionais para proteger seus servidores e estações de trabalho”, disse Namestnikov.
FONTE: TECHREPUBLIC