Målrettede angreb på Linux stiger

Målrettede angreb på Linux stiger

Igennem den senere tid har Kaspersky set en stigende tendens til at Linux-baserede enheder bliver angrebet – og at der udvikles nye værktøjer specifikt målrettet Linux

I løbet af de seneste otte år har Kaspersky set, at mere end et dusin Advanced Persistance Threat (APT) grupper går målrettet efter Linux. Blandt de kendte it-kriminelle grupper findes Barium, Sofacy, the Lamberts og Equation, hvor nogle af de seneste angreb hedder LightSpy by TwoSail Junk og WellMess. Det stadigt voksende arsenal af Linux-værktøjer til angreb gør det muligt for trusselaktører at gennemføre deres angreb mere effektivt og med større rækkevidde.

Mange store virksomheder og statslige enheder bruger Linux, som desktop-miljø, og det har fået de it-kriminelle til at udvikle malware til denne platform. Myten om, at malware sjældent rettes mod Linux, bare fordi det ikke er helt så udbredt som andre, er ikke sand. Mens målrettede angreb på Linux-baserede systemer stadig er ualmindelige, er der bestemt malware designet til dem - inklusive webshells, bagdøre, rootkits og endda skræddersyede exploits.

Desuden vildleder antallet af angreb; For selv om der er færre angreb på Linux servere, så giver et vellykket angreb langt større gevinst, da en Linux-server ofte også giver adgang til de endpoints, der kører på Windows eller macOS. Derved kan de it-kriminelle ofte få adgang til meget uden at blive opdaget.

For eksempel har Turla - en produktiv russisktalende gruppe kendt for sin eksfiltreringstaktik - været flittige brugere af Linux bagdøre. En ny ændring af Penguin_x64 Linux-bagdøren, som blev rapporteret om tidligere i år, har ifølge Kaspersky telemetri-inficeret snesevis af servere i Europa og USA så sent som i juli 2020.

Et andet eksempel er Lazarus, en koreansktalende APT-gruppe, der fortsætter med at udvide sit værktøjssæt og udvikle malware til andet end Windows. Kaspersky rapporterede for nylig om MATA (multi-platform) og deres analyse af to Lazarus-kampagner ('Operation AppleJeus' og 'TangoDaiwbo'), der blev brugt i økonomiske og spionageangreb, og som indeholdt Linux-malware.

”Der foregår en løbende udvikling af værktøjer til de avancerede og målrettede angreb, og Linux-fokuserede værktøjer er ingen undtagelse. It-afdelinger bruger i stigende grad Linux, fordi det anses som værende mere sikkert. Men det har blot ført til at de it-kriminelle udvikler flere sofistikerede Linux-værktøjer, så de kan trænge ind i dem. Vi råder it-sikkerhedseksperter til at tage denne tendens i betragtning og gennemføre yderligere foranstaltninger for at beskytte deres servere og arbejdsstationer,” siger Yury Namestnikov, leder af Kasperskys Global Research and Analysis Team (GReAT) i Rusland.

Gode råd fra Kaspersky:

  • Vedligehold en liste over pålidelige softwarekilder og undgå at bruge ukrypterede opdateringskanaler
  • Kør ikke binære filer og scripts fra ukendte kilder. Installering af programmer med kommandoer som “curl https: // install-url | sudo bash” udgør et sikkerhedsmareridt
  • Sørg for, at din opdateringsprocedure er effektiv, og sørg for automatiske sikkerhedsopdateringer
  • Brug tid på at konfigurere din firewall korrekt: Sørg for, at den logger netværksaktivitet, blokerer alle de porte, du ikke bruger, og minimer dit netværk
  • Brug nøglebaseret SSH-godkendelse og beskyt nøgler med adgangskoder
  • Brug tofaktorgodkendelse og gem følsomme nøgler på eksterne token-enheder (f.eks. Yubikey)
  • Brug en out-of-band network tap til uafhængigt at overvåge og analysere netværkskommunikation på dine Linux-systemer
  • Oprethold systemeksekverbar filintegritet og gennemgå ændringer i konfigurationsfiler regelmæssigt
  • Vær forberedt på insiderangreb og fysiske angreb: Brug fuld diskkryptering, pålidelige/sikre boots og læg manipuleringssikker sikkerhedstape på din kritiske hardware
  • Kontroller systemet og undersøg logfiler for indikatorer for angreb
  • Kør penetrationstest på din Linux-opsætning
  • Brug en dedikeret sikkerhedsløsning med Linux-beskyttelse, fx Integrated Endpoint Security. Dette giver web- og netværksbeskyttelse og I kan opdage phishing, ondsindede websteder og netværksangreb samt enhedskontrol, så brugerne kan definere regler for overførsel af data til andre enheder
  • Kaspersky Hybrid Cloud Security beskytter DevOps, integrerer sikkerhed i CI/CD-platforme og containere og scanning af billeder og beskytter mod angreb på forsyningskæden.

Læs mere om Linux APT-angreb og få en dybere forklaring på Securelist.com.

- lb