Tendencia: Grupos de APT estão mirando sistemas Linux
Os pesquisadores veem grupos de ataque mais avançados criando ferramentas e plataformas para visar dispositivos baseados em Linux.
Um aumento constante nos grupos de ameaças persistentes avançadas (APT) direcionados aos recursos do Linux levou os pesquisadores a compartilhar os detalhes desses ataques e explicar os equívocos sobre a segurança do Linux, bem como como as organizações podem proteger melhor suas máquinas Linux.
A Equipe de Pesquisa e Análise Global da Kaspersky (GReAT) observou essa tendência constante nos últimos oito anos, diz o pesquisador Yury Namestnikov. Cada vez mais grupos avançados estão criando ferramentas e até plataformas para dispositivos que executam software Linux, diz ele.
H
á uma opinião generalizada de que o sistema operacional Linux é seguro por padrão e não suscetível a códigos maliciosos. O equívoco está enraizado na ideia de que os cibercriminosos têm menos malware e interesse em desktops e servidores Linux. Muito tem sido escrito sobre ataques direcionados ao Windows, a plataforma onde o Kaspersky encontra a maioria das ferramentas de ataque APT.
Embora o Linux não tenha enfrentado a enxurrada de vírus, worms e Trojans que os sistemas Windows viram, os pesquisadores enfatizam que ele ainda é um alvo atraente. Os ciberataques têm backdoors, rootkits e código exploit de PHP escritos para Linux, mas muitas empresas não estão muito preocupadas com isso.
As implicações são perigosas. Como resultado, os departamentos de segurança da informação e as equipes de segurança dos fornecedores de software estão menos focados nas mitigações desse problema, criando uma situação em que as organizações têm menos visibilidade e ferramentas para proteger desktops, servidores e IoT Linux.
“Não é verdade para todas as organizações, mas, infelizmente, é uma situação comum em muitos casos”, explica Namestnikov. “E quando começamos a falar sobre ataques direcionados, podemos ver facilmente, quase todos os agentes de ameaças sérias têm algumas ferramentas surpresa para invadir e obter controle sobre máquinas com Linux.
Existem muitas razões pelas quais os grupos APT visam o Linux em vez do Windows, diz ele. Um fator chave é a tendência para a conteinerização, que impulsionou a adoção do Linux. As máquinas geralmente podem ser acessadas da Internet e podem servir como um ponto de entrada inicial para invasores. Uma mudança para virtualização e conteinerização significa que quase todas as empresas usam Linux em algumas tarefas diárias.
Muitas organizações usam mais dispositivos Linux e macOS do que sistemas Windows, acrescenta Namestnikov, não dando aos invasores outra opção. Empresas de TI, telecomunicações e governos estão entre eles. Em algumas regiões, há um movimento para adotar mais Linux em ambientes de desktop, especialmente em esferas governamentais e de defesa, como Turquia e China, observa ele.
A telemetria da Kaspersky indica que os servidores são o alvo mais comum desses ataques, seguidos de TI corporativa e dispositivos de rede e, em seguida, estações de trabalho. Já houve casos em que os atacantes usaram roteadores comprometidos, rodando Linux, como comando e controle para implantes Windows na mesma rede, destaca Namestnikov.
Os servidores devem ser uma preocupação primária, escrevem os pesquisadores em sua análise completa . A importância estratégica dos servidores baseados em Linux os torna um alvo importante. Se um invasor puder comprometer um servidor Linux, ele poderá obter acesso aos dados desse servidor e endpoints de destino executando Windows ou macOS que possam estar conectados.
Uma ameaça em evolução Os
invasores fizeram alterações no malware do Linux e ataques direcionados a dispositivos Linux. Quando eles começaram a escrever malware, seu objetivo era manipular o tráfego da rede. Isso ficou claro no caso do Cloud Snooper, um agente de ameaças que usava um rootkit de kernel Linux orientado para servidor projetado para conectar as funções de controle de tráfego do Netfilter e a comunicação de comando e controle que cruzava o firewall do alvo.
Os pesquisadores observaram que o mesmo objetivo era evidente para o Bário / APT41. Este grupo começou em 2013 visando empresas de jogos para obter ganhos financeiros; com o tempo, desenvolveu novas ferramentas e foi atrás de alvos mais complicados. Ele empregou malware Linux apelidado de MessageTap, que os invasores usaram para interceptar mensagens SMS da infraestrutura de provedores de telecomunicações.
Os atacantes de APT que visam o Linux geralmente usam ferramentas legítimas que estão disponíveis em servidores e desktops baseados em Linux – por exemplo, a capacidade de compilar código ou executar scripts Python – o que acaba deixando menos rastros nos logs, diz Namestnikov. O mais preocupante, diz ele, é a capacidade de se esconder em dispositivos Linux, sair e voltar quando quiser.
Para fazer isso, ele explica, eles podem infectar IoT ou caixas de rede ou substituir arquivos legítimos em servidores comprometidos. Como esses servidores não são atualizados com frequência e, em muitos casos, não têm antivírus instalado, essas substituições costumam ser vistas tarde demais – se é que são vistas.
Embora o Linux permaneça menos visado que o Windows, os pesquisadores aconselham as empresas a tomar medidas para proteger seus ambientes contra esses tipos de ataques. A primeira dica é manter uma lista de fontes confiáveis de software e instalar apenas aplicativos de lojas oficiais. O Linux pode oferecer mais liberdade, mas pressiona as organizações para que façam o download de software com sabedoria.
Além disso, eles recomendam verificar as configurações de rede e evitar aplicativos de rede desnecessários. As organizações também são aconselhadas a configurar corretamente seu firewall a partir da distribuição Linux para filtrar o tráfego e armazenar a atividade de rede do host. Outras sugestões incluem proteger as chaves SSH armazenadas localmente usadas para serviços de rede e configurar a autenticação multifator para sessões SSH.
