Логотип СИБ

Системы
Информационной
Безопасности

 +7 (495) 766-05-38 [email protected]
Все статьи

Взрывной рост количества атак на linux-системы

15 сентября 2020 г. 11:09
 8209

Злоумышленники разрабатывают новые методы компрометации дистрибутивов на базе Linux, работающих на суперкомпьютерах, облачных серверах и многочисленных IoT-устройствах.

Прошли те времена, когда пользователи Linux считали Windows основной целью хакеров. Устройства под Linux теперь все чаще рассматриваются как очередная ценная цель. Злоумышленники разрабатывают новые методы компрометации дистрибутивов на базе Linux, работающих на суперкомпьютерах, облачных серверах и многочисленных IoT-устройствах.

Что замышляют хакеры?

  • Собирая учетные записи SSH, злоумышленники ищут Linux-системы для распространения вредоносного ПО и даже выслеживают «конкурентов» на скомпрометированных Linux-устройствах, гарантируя, что только они используют весь пул взломанных ресурсов.
  • После брутфорса и развертывания вредоносного ПО на взломанных системах, злоумышленники добавляют зараженные устройства в ботнеты, предназначенные для крипто-майнинга и DDoS-атак. Некоторые изощренные ботнеты также были замечены с использованием проприетарных протоколов для C2-соединений.
  • Операторы ботнетов создали новые варианты специально для DDoS-атак на системы под Linux, в том числе атак TCP-flood, UDP-flood и ICMP-flood.

Когда серверы Linux подвергались атакам?

  • Недавно майнер «Lemon_Duck» был замечен в компрометации Linux-систем с помощью брутфорса SSH. Вредоносная программа использовала модуль сканирования портов, который ищет подключенные к  интернету Linux-системы, прослушивая 22 TCP-порт, используемый для удаленного входа в систему SSH.
  • Известный тем, что превращает уязвимые системы Windows в майнеры валюты Monero, «Lucifer», гибридный DDoS-ботнет,  теперь сканирует системы на Linux и заражает их. В новой версии ботнета под Linux также есть модули для шифрования.
  • Был обнаружен сложный ботнет «FritzFrog», атакующий Linux-серверы по всему миру. Проприетарная и безфайловая P2P-реализация «FritzFrog» выделяет его на фоне других ботнетов.
  • В прошлом месяце было сообщение о новом вредоносном программном обеспечении «Drovorub» под Linux, атакующем частные организации и государственные учреждения. За авторством «Fancy Bear», российской хакерской группы, «Drovorub» создает бэкдоры в целевые сети для извлечения конфиденциальных данных.

Государственные учреждения держат марку

ФБР и АНБ посоветовали пользователям Linux обновить версию ядра Linux до 3.7 или более поздней версии и активировать безопасную загрузку UEFI. Обновление позволит пользователям воспользоваться принудительной подписью ядра, предотвращая внедрение злоумышленниками в ядро вредоносных модулей.

 

Перевод сделан со статьи https://cyware.com