Переход с проприетарного софта глобальных вендоров, более недоступного на территории РФ, на open source-решения обостряет проблемы информационной безопасности. Открытое ПО на Linux в последнее время стало пользоваться популярностью у хакеров в качестве мишени для атак.

Большой сдвиг 

На Linux традиционно работает значительная часть важной корпоративной ИТ-инфраструктуры, что делает ее привлекательной мишенью для вымогателей.

Отметим, что смещение акцентов в сторону Linux наметилось еще в 2021 году. Тогда динамика роста атак на инфраструктуру под управлением этой ОС составила 35% в годовом сопоставлении, а главной мишенью были IoT-устройства.

Подлинный бум произошел в 2022 году, когда ИБ-экспертами был зафиксирован значительный рост числа атак вымогательского ПО (ransomware), направленных на Linux.

Так, согласно анализу компании Trend Micro, серверы на Linux в 2022 году становились объектами атак на 75% чаще, чем в 2021-м.

Иллюстраций тренда на смещение фокуса хакеров может послужить LockBit — одна из самых распространенных программ-вымогателей теперь предлагается в варианте, предназначенным для атак на ОС Linux.

Очевидно, что новые группы угроз продолжают совершенствовать бизнес-модель, фокусируя атаки с еще большей точностью и детализацией при подборе целей. Именно поэтому организациям необходимо лучше определять, понимать и защищать расширяющуюся поверхность цифровых атак.

Угрозы меняются и растут 

Согласно данным, представленным Atlas VPN на основе статистики AV-ATLAS.org, в первой половине 2022 года количество новых вредоносных программ для Linux достигло рекордно высокого уровня. Всего было обнаружено почти 1,7 миллиона образцов.

По сравнению с тем же периодом 2021 года количество новых вредоносных программ для Linux выросло сразу на 650%. В первой половине 2022 года появилось больше нового вредоносного ПО для Linux, чем в любой другой год с 2008 года.

И хотя доля Linux на рынке операционных систем составляет всего 1%, он занимает второе место в списке с 1,7 млн образцов вредоносного ПО, выявленных только в первом полугодии 2022 года (данные за весь год будут доступны по ходу 2023-го).

Для сравнения, на самую популярную операционную систему, Android, в первом полугодии 2022 года пришлось 716 201 новых образцов вредоносного ПО.

При этом угрозы для Linux исходят теперь не только со стороны шифровальщиков. По данным Trend Micro, на 145% увеличилось количество атак вредоносных программ для майнинга, когда хакеры тайно используют мощности зараженных компьютеров и серверов на Linux для добычи криптовалюты.

Традиционно одним из основных способов, которым киберпреступники компрометируют системы Linux, является использование непропатченных уязвимостей. Так, их список включает в себя известную уязвимость Dirty Pipe — ошибку, влияющую на ядро Linux начиная с версии 5.8 и выше, которую злоумышленники используют для повышения уровня доступных админских полномочий и запуска кода.

Как пример

Исследователи Group-IB отследили активность группировки хакеров OldGremlin и в рамках отработки одного из инцидентов обнаружили, что злоумышленники атаковали Linux-машину с помощью вымогателя TinyCrypt, который ранее использовался для шифрования только Windows-машин.

Linux-вариант работает так же, как и аналог для Windows, используя алгоритм AES с режимом блочного шифрования CBC для шифрования файлов 256-битным ключом, который шифруется с помощью асимметричной криптосистемы RSA-2048.

Для достижения цели используются тщательно подготовленные фишинговые письма, которые выдают себя за известные организации из самых разных областей, от СМИ до тяжелой промышленности.

Впрочем, это не единственный способ доставки вредоносного ПО в Linux-инфраструктуру. Злоумышленники нередко вместо писем используют ссылки на документ с файлообменного сервиса.

После заражения блокировка происходит не сразу — вредоносы могут оставаться в сети компании-жертвы 1–2 месяца, тщательно отбирая информацию, на основе которой выявляется наиболее ценные системы для блокировки и запроса выкупа.

Поворот к России 

Несмотря на то, что ранее большинство группировок, специализирующихся на ransomware, ориентировались на Запад в качестве региона атак, Россия в последнее время становится все более лакомой целью и для них.

Почему? Open source-решения во всех сегментах рынка ПО все чаще используются для замены привычных проприетарных продуктов глобальных вендоров, покинувших наш рынок. Объемы использования открытого ПО, почти всегда реализованного на Linux-ядре, в России растут стремительно.

Причем главными пользователями становятся государственные организации, критически важные и системообразующие предприятия в своих сферах экономики, а также общественно важные структуры.

Если учесть масштабы уже реализованного и еще готовящего перехода инфраструктуры с Windows на Linux-платформу, то нам есть к чему готовиться в плане ИБ-вызовов в масштабе государства.

Ведь чем больше систем и пользователей — тем больше площадь потенциальной атаки.

Покой нам только снится 

Несмотря на то, что открытый код менее подвержен уязвимостям, так как над ним работает огромное сообщество разработчиков, полностью от них он не избавлен. В Linux специалисты по безопасности периодически находят различные довольно серьезные бреши.

Как правило массовая эксплуатация таких «ИБ-пробелов» происходит намного позже выпуска официальных патчей для их устранения. Поэтому, чтобы не пополнять печальную статистику, нужно постоянно обновлять ядро, модули и программное обеспечение операционной системы.

Количество устройств растет — поэтому в новом году будет расти и количество атак. Также сегодня появляются очень серьезные технологии и инструменты, которые помогают создавать вирусы и находить уязвимости. Например, с помощью ChatGPT человек без знания программирования может писать вирусы и распространять их.

В случае с Россией рост количества DDoS-атак, а также активности в направлении Linux связан с СВО, когда недружественные страны объединились в рамках единой кампании атаки российских сайтов и инфраструктуры.

Например, такие атаки ранее часто шли из открытого телеграм-канала с 200 тыс. подписчиков. Он содержал инструкцию с указаниями о том, как можно достаточно легко присоединиться к атаке. Нужен был всего-навсего компьютер и доступ в интернет. Каждые несколько дней публикуется список целей из РФ, и все начинают атаковать эту цель, в результате чего сервис, как правило, падал.

Однако проблема такой стратегии заключалась в том, что целей очень много и они постоянно меняются, поэтому сайт под координированной атакой находится всего пару дней, а потом продолжает нормально функционировать. Хотя моментами злоумышленникам удавалось «положить» даже крупных провайдеров.

Сейчас количество атак сильно уменьшилось, многие устали, кому-то надоело, да и эффективность подобных атак снизилась, а сайты спустя некоторое время неизбежно возвращаются к нормальной работе.

По-прежнему, несмотря на ситуацию с РФ, большинство взломов (95%) не направлены на какую-то конкретную страну или компанию.

Просто злоумышленники запускают сканер и прочесывают весь интернет на предмет уязвимых серверов, взламывают их в автоматическом режиме и используют для организации DDoS-атак, майнинга, рассылки спама и т.д. 

Поэтому необходимо не снижать общую ИБ-бдительность и всегда учитывать «хакерские тренды» для профилактической работы до наступления инцидентов.

Автор: Михаил Сергеев, эксперт компании «КорпСофт 24»
Источник: Инвест-Форсайт