Os invasores estão desenvolvendo novas técnicas para comprometer distribuições baseadas em Linux em execução em supercomputadores, servidores em nuvem e vários dispositivos IoT.
O que os hackers estão tramando?
- Ao coletar credenciais de autenticação SSH, os invasores procuram sistemas Linux para eliminar cargas e até mesmo caçar outros agentes de ameaças em dispositivos Linux comprometidos, garantindo que eles usem sozinhos todo o conjunto de recursos.
- Depois de fazer força bruta e implantar malware em sistemas violados, os invasores estão adicionando dispositivos infectados a botnets destinados a ataques de criptominação e DDoS. Alguns botnets sofisticados também foram observados usando protocolos proprietários para comunicações C2.
- Os operadores de botnet criaram novas variantes para infectar especificamente sistemas Linux com ataques DDoS, incluindo TCP, UDP e ataques de inundação ICMP.
Quando os servidores Linux estavam sob ataque
- Recentemente, o malware criptominerante Lemon_Duck foi visto comprometendo sistemas Linux por meio de ataques de força bruta SSH. O malware usou um módulo de varredura de porta que procura por sistemas Linux conectados à Internet ouvindo na porta TCP 22 utilizada para login remoto SSH.
- Conhecido por transformar sistemas Windows vulneráveis em bots de criptominação Monero, o Lucifer – um botnet DDoS híbrido – agora está procurando sistemas Linux e os infectando. A nova versão do Linux possui módulos projetados para criptojacking.
- Uma sofisticada campanha de botnet, FritzFrog , foi descoberta atacando servidores Linux em todo o mundo. A implementação P2P proprietária e sem arquivo do FritzFrog o diferencia de outros botnets.
- No mês passado, Drovorub, um novo malware foi relatado visando sistemas Linux usados por organizações privadas e agências governamentais. Implantado por Fancy Bear, um grupo APT russo, Drovorub cria um backdoor em redes direcionadas para exfiltrar dados confidenciais.
Agências governamentais acompanhando o ritmo
O FBI e a NSA aconselharam os usuários do Linux a atualizar a versão do kernel do Linux para 3.7 ou posterior e ativar o UEFI Secure Boot. A atualização permitirá que os usuários tirem proveito da imposição de assinatura do kernel, evitando que invasores introduzam um módulo de kernel malicioso no sistema.
Fonte: https://cyware.com/news/attacks-on-linux-servers-are-rising-like-a-rocket-c1129227