Linux, jako najbardziej rozpowszechniony system operacyjny w chmurze, jest kluczową częścią infrastruktury cyfrowej.

Dotychczas stosowane środki przeciwdziałania skupiają się głównie na zagrożeniach opartych na systemie Windows. To błąd. Ilość i złożoność szkodliwego oprogramowania skierowanego na systemy operacyjne oparte na Linuksie stale bowiem wzrasta. Jednostka VMware Threat Analysis Unit (TAU) przeanalizowała linuksowe zagrożenia w środowiskach wielochmurowych. Najczęściej stosowane przez atakujących narzędzia to: ransomware, cryptominery i narzędzia zdalnego dostępu.

Zobacz również:

• IDC: Wzrost popularności sieci SD-WAN wynika z wymagań dotyczących łączności w chmurze i atrakcyjności SASE
• Cyberwojna trwa na Bliskim Wschodzie
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

„Cyberprzestępcy radykalnie rozszerzają obszar działania i uwzględniają w swoim arsenale złośliwe oprogramowanie, które atakuje systemy operacyjne oparte na Linuksie. Ma to zmaksymalizować ich skuteczność włamania przy jak najmniejszym wysiłku” – powiedział Andrzej Szymczak, Lead Solution Engineer w VMware. Zamiast infekować urządzenia (komputery, laptopy, telefony), czyli punkty końcowe, by kolejno przenosić się na bardziej dochodowy cel, cyberprzestępcy odkryli, że ofensywa na pojedynczy serwer może przynieść ogromne zyski i zapewnić dostęp do danych, w szczególności wrażliwych, i mocy obliczeniowej Atakujący postrzegają zarówno chmury publiczne, jak i prywatne jako cenne ze względu na dostęp do krytycznych usług infrastrukturalnych i poufnych danych.

Kluczowe wnioski z raportu:

Ransomware celuje w chmurę

Udany atak ransomware na środowisko chmury może mieć druzgocące konsekwencje.

Takie ataki mają miejsce również w Polsce, czego przykładem jest firma CD Projekt. Działanie dwutorowe – szyfrowanie danych oraz ich kradzież zwiększa szanse na szybki i duży zysk. Nowe zjawisko pokazuje, że ransomware oparte na Linuksie ewoluuje i obiera za cel narzędzia używane do uruchamiania różnego rodzaju oprogramowania w środowiskach również zwirtualizowanych.

Hakerzy szukają teraz cenniejszych zasobów w środowiskach chmurowych, aby zadać celowi maksymalne szkody. Przykłady obejmują rodzinę ransomware Defray777, która zaszyfrowała obrazy na serwerach ESXi, oraz grupę ransomware DarkSide, która sparaliżowała sieci Colonial Pipeline, powodując ogólnokrajowy deficyt benzyny w USA.

Cryptojacking

Cyberprzestępcy szukający łatwego zarobku często mają na celu kryptowaluty. Cyberprzestępcy albo umieszczają w złośliwym oprogramowaniu mechanizm kradzieży portfela, albo wykorzystują do wydobycia przechwyconą moc procesora w ramach ataku zwanego cryptojacking. Większość takich ataków skupia się na wydobyciu waluty Monero (XMR).

VMware TAU odkryło, że 89% kryptominerów korzystało z bibliotek związanych z XMRig. Z tego powodu, gdy w binariach Linuksa zostaną wykryte biblioteki i moduły specyficzne dla XMRig, jest to prawdopodobnie dowód na włamanie. VMware TAU zaobserwowało również, że unikanie zabezpieczeń jest najczęściej stosowaną taktyką przy atakach na Linuksa. Te, niestety, nie zakłócają całkowicie działania środowisk chmurowych tak jak ransomware, dlatego są one znacznie trudniejsze do wykrycia.

Cobalt Strike - narzędzie ataku

W celu przejęcia kontroli i utrzymania się w środowisku cyberprzestępcy próbują zainstalować w systemie implant, który daje im częściową kontrolę nad maszyną. Malware, webshells i Remote Access Tools (RAT) mogą być użyte w zagrożonym systemie, aby umożliwić zdalny dostęp. Jednym z podstawowych narzędzi wykorzystywanych przez atakujących jest Cobalt Strike, komercyjne narzędzie do przeprowadzania testów penetracyjnych i pracy w zespole red team, oraz jego najnowszy wariant oparty na Linuksie — Vermilion Strike. Jest to tak wszechobecne zagrożeniem w systemie Windows, że rozszerzenie go Linuksa unaocznia dążenia cyberprzestępców do korzystania z łatwo dostępnych narzędzi, które są ukierunkowane na tak wiele platform, jak to tylko możliwe.

Zespół VMware TAU między lutym 2020 a listopadem 2021 wykrył w Internecie ponad 14 000 aktywnych serwerów Cobalt Strike Team. Łączny odsetek złamanych i wyciekłych identyfikatorów klientów Cobalt Strike wynosi 56%, co oznacza, że ponad połowa użytkowników może być cyberprzestępcami lub przynajmniej nielegalnie używać Cobalt Strike. Fakt, że narzędzia RAT stały się narzędziem złoczyńców, stanowi poważne zagrożenie dla przedsiębiorstw.

„Od czasu przeprowadzenia naszej analizy zaobserwowano, że jeszcze więcej rodzajów ransomware upodobało sobie Linuksa, To rodzi możliwość dodatkowych ataków, które mogą wykorzystywać luki np. w Log4j” - powiedział Piotr Kraś, Senior Manager Solution Engineering w VMware. „Wnioski z raportu mogą być wykorzystane do pełniejszego zrozumienia natury złośliwego oprogramowania opartego na systemie Linux i złagodzenia rosnącego zagrożenia, jakie ransomware, cryptomining i RAT stanowią dla środowisk wielochmurowych. Ataki wymierzone w clouda wciąż ewoluują, dlatego powinniśmy przyjąć podejście Zero Trust, aby osadzić zabezpieczenia w całej infrastrukturze i systematycznie zajmować się wektorami zagrożeń, które tworzą powierzchnię dla ataku”.

Chcesz dowiedzieć się więcej o Zero trust? Zapraszamy do słuchania naszych dwóch specjalnych odcinków redakcyjnych podcastów Computerworld Tech Trends: "Zero Trust – innej rzeczywistości nie będzie" oraz "Bezpieczeństwo? Bierzmy się do roboty..."