VMware провела исследование угроз вредоносного ПО на базе Linux Exposing Malware in Linux-Based Multi-Cloud Environments. Linux, как наиболее распространенная облачная операционная система, является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентированы на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.
В числе главных выводов, в которых описаны сценарии использования вредоносных программ злоумышленников для атак на ОС Linux:
- программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах;
- в 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig;
- более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.
«Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых — операционные системы на базе Linux, чтобы добиться максимального эффекта при минимальными усилиях, — отметил Джованни Винья (Giovanni Vigna), старший директор подразделения анализа угроз безопасности компании VMware. — Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Злоумышленники атакуют как публичные, так и частные облачные среды. К сожалению, существующие средства противодействия вредоносному ПО в основном направлены на устранение угроз для серверов под управлением Windows, поэтому многие облака становятся уязвимыми для атак, основная цель которых — ОС на базе Linux».
Успешно проведенные атаки программ-вымогателей на облачные среды могут иметь катастрофические последствия для систем безопасности. Атаки программ-вымогателей на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных — так реализуется схема двойного вымогательства. Программы- вымогатели эволюционировали, чтобы атаковать/задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах. Злоумышленники теперь ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примерами этому могут служить программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и программы-вымогатели семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на всей территории США.
Киберпреступники, нацеленные на быстрое получение прибыли, часто охотятся за криптовалютой, используя для атаки один из двух подходов: 1) внедряют вредоносное ПО для кражи из онлайн-кошельков; 2) монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый «криптоджекинг»). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) — в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.
Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок — это Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.
За период с февраля 2020 по ноябрь 2021 года подразделение анализа угроз VMware обнаружило в сети более 14 000 активных серверов Cobalt Strike Team. Общий процент взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, то есть более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа, как Cobalt Strike и Vermilion Strike, стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.
«Наше исследование показало, что все больше семейств программ-вымогателей переходят в категорию вредоносного ПО на базе Linux, существует вероятность атак, которые могут использовать уязвимости Log4j, — заявил Брайан Баскин (Brian Baskin), менеджер по исследованию угроз компании VMware. — Выводы нашего отчета могут быть использованы для более глубокого понимания природы вредоносных программ на базе Linux и сдерживания растущей угрозы, которую сейчас представляют программы-вымогатели, криптомайнеры и программы удаленного доступа для мультиоблачных сред. Поскольку атаки, нацеленные на облако, продолжают развиваться, организациям следует придерживаться концепции „нулевого доверия“ Zero Trust для обеспечения безопасности всей инфраструктуры».