2 февраля 2023

Атака на Linux: как меняется ИБ-ландшафт в 2023 году

Переход с проприетарного софта глобальных вендоров, более недоступного на территории РФ, на open source-решения обостряет проблемы информационной безопасности. Открытое ПО на Linux в последнее время стало пользоваться популярностью у хакеров в качестве мишени для атак.

Большой сдвиг 

На Linux традиционно работает значительная часть важной корпоративной ИТ-инфраструктуры, что делает ее привлекательной мишенью для вымогателей.

Отметим, что смещение акцентов в сторону Linux наметилось еще в 2021 году. Тогда динамика роста атак на инфраструктуру под управлением этой ОС составила 35% в годовом сопоставлении, а главной мишенью были IoT-устройства.

Подлинный бум произошел в 2022 году, когда ИБ-экспертами был зафиксирован значительный рост числа атак вымогательского ПО (ransomware), направленных на Linux.

Так, согласно анализу компании Trend Micro, серверы на Linux в 2022 году становились объектами атак на 75% чаще, чем в 2021-м.

Иллюстраций тренда на смещение фокуса хакеров может послужить LockBit — одна из самых распространенных программ-вымогателей теперь предлагается в варианте, предназначенным для атак на ОС Linux.

Очевидно, что новые группы угроз продолжают совершенствовать бизнес-модель, фокусируя атаки с еще большей точностью и детализацией при подборе целей. Именно поэтому организациям необходимо лучше определять, понимать и защищать расширяющуюся поверхность цифровых атак.

Угрозы меняются и растут 

Согласно данным, представленным Atlas VPN на основе статистики AV-ATLAS.org, в первой половине 2022 года количество новых вредоносных программ для Linux достигло рекордно высокого уровня. Всего было обнаружено почти 1,7 миллиона образцов.

По сравнению с тем же периодом 2021 года количество новых вредоносных программ для Linux выросло сразу на 650%. В первой половине 2022 года появилось больше нового вредоносного ПО для Linux, чем в любой другой год с 2008 года.

И хотя доля Linux на рынке операционных систем составляет всего 1%, он занимает второе место в списке с 1,7 млн образцов вредоносного ПО, выявленных только в первом полугодии 2022 года (данные за весь год будут доступны по ходу 2023-го).

Для сравнения, на самую популярную операционную систему, Android, в первом полугодии 2022 года пришлось 716 201 новых образцов вредоносного ПО.

При этом угрозы для Linux исходят теперь не только со стороны шифровальщиков. По данным Trend Micro, на 145% увеличилось количество атак вредоносных программ для майнинга, когда хакеры тайно используют мощности зараженных компьютеров и серверов на Linux для добычи криптовалюты.

Традиционно одним из основных способов, которым киберпреступники компрометируют системы Linux, является использование непропатченных уязвимостей. Так, их список включает в себя известную уязвимость Dirty Pipe — ошибку, влияющую на ядро Linux начиная с версии 5.8 и выше, которую злоумышленники используют для повышения уровня доступных админских полномочий и запуска кода.

Как пример

Исследователи Group-IB отследили активность группировки хакеров OldGremlin и в рамках отработки одного из инцидентов обнаружили, что злоумышленники атаковали Linux-машину с помощью вымогателя TinyCrypt, который ранее использовался для шифрования только Windows-машин.

Linux-вариант работает так же, как и аналог для Windows, используя алгоритм AES с режимом блочного шифрования CBC для шифрования файлов 256-битным ключом, который шифруется с помощью асимметричной криптосистемы RSA-2048.

Для достижения цели используются тщательно подготовленные фишинговые письма, которые выдают себя за известные организации из самых разных областей, от СМИ до тяжелой промышленности.

Впрочем, это не единственный способ доставки вредоносного ПО в Linux-инфраструктуру. Злоумышленники нередко вместо писем используют ссылки на документ с файлообменного сервиса.

После заражения блокировка происходит не сразу — вредоносы могут оставаться в сети компании-жертвы 1–2 месяца, тщательно отбирая информацию, на основе которой выявляется наиболее ценные системы для блокировки и запроса выкупа.

Поворот к России 

Несмотря на то, что ранее большинство группировок, специализирующихся на ransomware, ориентировались на Запад в качестве региона атак, Россия в последнее время становится все более лакомой целью и для них.

Почему? Open source-решения во всех сегментах рынка ПО все чаще используются для замены привычных проприетарных продуктов глобальных вендоров, покинувших наш рынок. Объемы использования открытого ПО, почти всегда реализованного на Linux-ядре, в России растут стремительно.

Причем главными пользователями становятся государственные организации, критически важные и системообразующие предприятия в своих сферах экономики, а также общественно важные структуры.

Если учесть масштабы уже реализованного и еще готовящего перехода инфраструктуры с Windows на Linux-платформу, то нам есть к чему готовиться в плане ИБ-вызовов в масштабе государства.

Ведь чем больше систем и пользователей — тем больше площадь потенциальной атаки.

Покой нам только снится 

Несмотря на то, что открытый код менее подвержен уязвимостям, так как над ним работает огромное сообщество разработчиков, полностью от них он не избавлен. В Linux специалисты по безопасности периодически находят различные довольно серьезные бреши.

Как правило массовая эксплуатация таких «ИБ-пробелов» происходит намного позже выпуска официальных патчей для их устранения. Поэтому, чтобы не пополнять печальную статистику, нужно постоянно обновлять ядро, модули и программное обеспечение операционной системы.

Количество устройств растет — поэтому в новом году будет расти и количество атак. Также сегодня появляются очень серьезные технологии и инструменты, которые помогают создавать вирусы и находить уязвимости. Например, с помощью ChatGPT человек без знания программирования может писать вирусы и распространять их.

В случае с Россией рост количества DDoS-атак, а также активности в направлении Linux связан с СВО, когда недружественные страны объединились в рамках единой кампании атаки российских сайтов и инфраструктуры.

Например, такие атаки ранее часто шли из открытого телеграм-канала с 200 тыс. подписчиков. Он содержал инструкцию с указаниями о том, как можно достаточно легко присоединиться к атаке. Нужен был всего-навсего компьютер и доступ в интернет. Каждые несколько дней публикуется список целей из РФ, и все начинают атаковать эту цель, в результате чего сервис, как правило, падал.

Однако проблема такой стратегии заключалась в том, что целей очень много и они постоянно меняются, поэтому сайт под координированной атакой находится всего пару дней, а потом продолжает нормально функционировать. Хотя моментами злоумышленникам удавалось «положить» даже крупных провайдеров.

Сейчас количество атак сильно уменьшилось, многие устали, кому-то надоело, да и эффективность подобных атак снизилась, а сайты спустя некоторое время неизбежно возвращаются к нормальной работе.

По-прежнему, несмотря на ситуацию с РФ, большинство взломов (95%) не направлены на какую-то конкретную страну или компанию.

Просто злоумышленники запускают сканер и прочесывают весь интернет на предмет уязвимых серверов, взламывают их в автоматическом режиме и используют для организации DDoS-атак, майнинга, рассылки спама и т.д. 

Поэтому необходимо не снижать общую ИБ-бдительность и всегда учитывать «хакерские тренды» для профилактической работы до наступления инцидентов.

Автор: Михаил Сергеев, эксперт компании «КорпСофт 24»
Источник: Инвест-Форсайт

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар iTrend «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

19 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов». Организаторы — коммуникационное агентство iTrend, ассоциация РУССОФТ и консалтинговая группа BITOBE.

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 
Все новости iTrend