Mnoge organizacije biraju Linux za strateški značajne servere i sisteme, zbog toga što se smatra da je ovaj operativni sistem bezbedniji i manje sklon sajber pretnjama od dosta popularnijeg Windows operativnog sistema. Iako je ovo slučaj kada je reč o masovnim napadima malverom, ne može se nužno isto reći i za napredne uporne pretnje (APT). Osim toga, istraživači kompanije Kaspersky su identifikovali trend sve više i više aktera pretnji koji sprovode targetirane napade na uređaje koji su zasnovani na Linux operativnom sistemu, dok istovremeno razvijaju alate koji su više fokusirani na Linux OS.
Tokom prethodnih osam godina, pronađeno je na desetine APT aktera koji koriste Linux malver ili neki od modula baziranih na Linux operativnom sistemu. Oni uključuju ozloglašene grupe pretnji kao što su Barium, Sofacy, the Lamberts, i Equation, kao i skorije kampanje kao što su LightSpy koju je sprovela grupa TwoSail Junk i WellMess. Diverzifikacija njihovog arsenala sa Linux alatima omogućuje akterima pretnji da operacije sprovode efikasnije i uz širi domet.
U mnogim zemljama postoji značajan trend korišćenja Linux operativnog sistema kao desktop okruženja među velikim kompanijama, kao i vladinim telima, koji podstiče aktere pretnji da razvijaju malver za ovu platformu. Mit da Linux, kao manje popularni operativni sistem, ima manje šanse da bude targetiran malverom, sa sobom donosi dodatne sajber bezbednosne rizike. Mada su targetirani napadi na sisteme bazirane na Linuxu i dalje retki, zasigurno postoji malver koji je za njih dizajniran – uključujući webshells, bekdor, rutkit i čak i prilagođene exploite. Osim toga, mali broj napada obmanjuje, jer uspešno kompromitovanje servera koji radi na bazi Linux operativnog sistema često dovodi do značajnih posledica. To znači da napadači ne samo da mogu da pristupe inficiranom uređaju, već takođe i krajnjim tačkama koje rade na Windows ili mac operativnim sistemima, na taj način pružajući širi pristup napadačima koji mogu ostati neprimećeni.
Primera radi, Turla – uspešna ruska grupa koja je poznata po svojim taktikama prikrivene eksfiltracije – značajno je promenila svoj set alata u prethodnim godinama, uključujući korišćenje Linux bekdora. Nova modifikacija Penguin_x64 Linux bekdora, prijavljena ranije tokom 2020. godine, prema našoj telemetriji inficirala je na desetine servera u Evropi i SAD-u, već u julu 2020. godine.
Još jedan primer je Lazarus, korejska APT grupa koja nastavlja da diverzifikuje svoj set alata i da razvija malver koji nije baziran na Windows operativnom sistemu. Kompanija Kaspersky je nedavno izvestila o multiplatformskom okviru pod nazivom MATA i u junu 2020, istraživači su analizirali nove uzorke povezane sa kampanjama ‘Operation AppleJeus’ i‘TangoDaiwbo’ grupe Lazarus, korišćenim u finansijskim i špijunažnim napadima. Proučavani uzorci su uključivali Linux malver.
“Trend unapređenja APT seta alata naši stručnjaci su identifikovali mnogo puta u prošlosti, i alati koji su fokusirani na Linux operativni sistem ne predstavljaju izuzetak. Sa ciljem da obezbede svoje sisteme, IT i bezbednosni sektori sada koriste Linux češće nego što je to bio slučaj ranije. Akteri pretnji na ovo odgovaraju kreiranjem sofisticiranih alata koji mogu da prodru u takve sisteme. Sajber bezbednosnim stručnjacima savetujemo da uzmu ovaj trend u obzir i implementiraju dodatne mere kako bi zaštitili svoje servere i radne stanice,” – komentariše Juri Namestnikov (Yury Namestnikov), direktor tima za globalno istraživanje i analizu (GReAT) kompanije Kaspersky u Rusiji.
Da ne biste postali žrtva targetiranih napada na Linux, kako poznatih tako i nepoznatih aktera pretnji, istraživači kompanije Kaspersky predlažu implementiranje sledećih mera:
- Održavajte listu pouzdanih softverskih izvora i izbegavajte korišćenje nešifrovanih kanala za ažuriranje
- Nemojte da pokrećete binarne datoteke i skripte na nepouzdanim izvorima. Široko reklamirani načini za instaliranje programa korišćenjem komandi kao što je “curl https://install-url | sudo bash” predstavljaju bezbednosnu noćnu moru
- Postarajte se da je vaša procedura ažuriranja efikasna i podesite automatska bezbednosna ažuriranja
- Odvojite vreme da na pravi način podesite svoj firewall: vodite računa da beleži aktivnost na mreži, blokira sve portove koje ne koristite, i minimizira vaš mrežni otisak
- Koristite SSH autentifikaciju baziranu na ključevima i zaštitite ključeve lozinkama
- Koristite 2FA (dvofaktorsku autentifikaciju) i skladištite osetljive ključeve na eksternim token uređajima (npr. Yubikey)
- Koristite tap van opsega mreže kako bi nezavisno nadgledali i analizirali mrežnu komunikaciju na vašim Linux sistemima
- Održavajte integritet izvršnog fajla sistema i redovno proveravajte promene konfiguracionog fajla
- Budite pripremljeni za insajderske/fizičke napade: koristite šifrovanje celog diska, pouzdane/bezbedne boots i stavite sigurnosnu traku na vaš kritični hardver
- Pregledajte sistem i proverite logovanja za indikatore napada
- Pokrenite testove penetracije na vašem Linux sistemu
- Koristite bezbednosno rešenje sa Linux zaštitom kao što je Integrated Endpoint Security. Ono omogućuje veb i mrežnu zaštitu radi detekcija fišinga, malicioznih veb-sajtova i mrežnih napada kao i kontrole uređaja, omogućujući korisnicima da definišu pravila za prenos podataka na druge uređaje
- Kaspersky Hybrid Cloud Security pruža zaštitu za DevOps, omogućujući integraciju bezbednosti u CI/CD platforme i kontejnere, i skeniranje slika od napada na lanac snabdevanja