La sua reputazione per la sicurezza significa che Linux è spesso considerato meno vulnerabile ai tipi di minacce che affliggono regolarmente i sistemi Microsoft Windows. Gran parte di quella sicurezza percepita deriva dal numero relativamente basso di sistemi Linux, ma i criminali informatici stanno iniziando a vedere un valore nella scelta della qualità rispetto alla quantità ?
Il panorama delle minacce di Linux sta cambiando
I ricercatori di sicurezza di aziende come Kaspersky e Blackberry, insieme ad agenzie federali come l' FBI e la NSA, avvertono che gli autori di malware stanno aumentando la loro attenzione su Linux.
Il sistema operativo è ora riconosciuto come un gateway per dati preziosi come segreti commerciali, proprietà intellettuale e informazioni sul personale. I server Linux possono anche essere utilizzati come punto di sosta per l'infezione di reti più ampie piene di dispositivi Windows, macOS e Android.
Anche se non è il sistema operativo in esecuzione sul tuo desktop o laptop, è probabile che i tuoi dati vengano esposti a Linux prima o poi. Il tuo cloud storage, VPN e provider di posta elettronica, così come il tuo datore di lavoro, assicuratore sanitario, servizi governativi o università, stanno quasi sicuramente eseguendo Linux come parte delle loro reti, ed è probabile che tu possieda o possiedi un Internet Of Linux basato su Dispositivo Things (IoT) ora o in futuro.
Negli ultimi 12 mesi sono state scoperte diverse minacce. Alcuni sono noti malware Windows portati su Linux, mentre altri sono rimasti inosservati sui server per quasi un decennio, dimostrando quanto i team di sicurezza abbiano sottovalutato il rischio.
Molti amministratori di sistema potrebbero presumere che la loro organizzazione non sia abbastanza importante da essere un obiettivo. Tuttavia, anche se la tua rete non è un grande premio, i tuoi fornitori o clienti potrebbero rivelarsi più allettanti e ottenere l'accesso al tuo sistema, ad esempio tramite un attacco di phishing, potrebbe essere un primo passo per infiltrarsi nel loro. Quindi vale la pena valutare come proteggi il tuo sistema .
Malware Linux scoperto nel 2020
Ecco il nostro riepilogo delle minacce che sono state identificate nell'ultimo anno.
RansomEXX Trojan
I ricercatori di Kaspersky hanno rivelato a novembre che questo Trojan era stato portato su Linux come eseguibile. Alla vittima vengono lasciati i file crittografati con un codice AES a 256 bit e le istruzioni su come contattare gli autori del malware per recuperare i propri dati.
La versione per Windows ha attaccato alcuni obiettivi significativi nel 2020, tra cui Konica Minolta, il Dipartimento dei trasporti del Texas e il sistema giudiziario brasiliano.
RansomEXX è specificamente su misura per ogni vittima, con il nome dell'organizzazione incluso sia nell'estensione del file crittografato che nell'indirizzo e-mail sulla richiesta di riscatto.
Gitpaste-12
Gitpaste-12 è un nuovo worm che infetta i server x86 e i dispositivi IoT che eseguono Linux. Prende il nome dall'uso di GitHub e Pastebin per scaricare il codice e per i suoi 12 metodi di attacco.
Il worm può disabilitare AppArmor, SELinux, firewall e altre difese, nonché installare un miner di criptovaluta.
IPstorm
Conosciuta su Windows da maggio 2019, a settembre è stata scoperta una nuova versione di questa botnet in grado di attaccare Linux. Disarma il killer di memoria esaurita di Linux per mantenersi in esecuzione e uccide i processi di sicurezza che potrebbero impedirne il funzionamento.
L'edizione Linux include funzionalità extra come l'utilizzo di SSH per trovare obiettivi, sfruttare i servizi di gioco Steam e eseguire la scansione di siti Web pornografici per falsificare i clic sugli annunci pubblicitari.
Ha anche il gusto di infettare i dispositivi Android collegati tramite Android Debug Bridge (ADB).
Drovorub
L'FBI e la NSA hanno evidenziato questo rootkit in un avvertimento ad agosto. Può eludere gli amministratori e il software antivirus, eseguire comandi di root e consentire agli hacker di caricare e scaricare file. Secondo le due agenzie, Drovorub è opera di Fancy Bear, un gruppo di hacker che lavorano per il governo russo.
L'infezione è difficile da rilevare, ma l'aggiornamento almeno al kernel 3.7 e il blocco dei moduli del kernel non attendibili dovrebbero aiutare a evitarlo.
Lucifero
Il bot dannoso di mining crittografico e denial of service distribuito Lucifer è apparso per la prima volta su Windows a giugno e su Linux ad agosto. L'incarnazione Linux di Lucifer consente attacchi DDoS basati su HTTP e su TCP, UCP e ICMP.
Penquin_x64
Questo nuovo ceppo della famiglia di malware Turla Penquin è stato rivelato dai ricercatori a maggio. È una backdoor che consente agli aggressori di intercettare il traffico di rete ed eseguire comandi senza acquisire root.
Kaspersky ha scoperto che l'exploit è in esecuzione su dozzine di server negli Stati Uniti e in Europa a luglio.
Doki
Doki è uno strumento backdoor che si rivolge principalmente a server Docker mal configurati per installare minatori di criptovalute.
Mentre il malware di solito contatta indirizzi IP o URL predeterminati per ricevere istruzioni, i creatori di Doki hanno creato un sistema dinamico che utilizza l'API blockchain di criptovaluta Dogecoin. Ciò rende difficile l'eliminazione dell'infrastruttura di comando poiché gli operatori di malware possono modificare il server di controllo con una sola transazione Dogecoin.
Per evitare Doki, assicurati che l'interfaccia di gestione di Docker sia configurata correttamente.
TrickBot
TrickBot è un Trojan bancario, utilizzato per attacchi ransomware e furto di identità, che è passato anche da Windows a Linux. Anchor_DNS, uno degli strumenti utilizzati dal gruppo dietro TrickBot, è apparso in una variazione Linux a luglio.
Anchor_Linux funge da backdoor e di solito viene diffuso tramite file zip. Il malware imposta un'attività cron e contatta un server di controllo tramite query DNS.
Correlati: Come individuare un'e-mail di phishing
Magnate
Il Tycoon Trojan viene solitamente diffuso come un Java Runtime Environment compromesso all'interno di un archivio zip. I ricercatori lo hanno scoperto a giugno in esecuzione su entrambi i sistemi Windows e Linux di piccole e medie imprese e istituzioni educative. Crittografa i file e richiede il pagamento del riscatto.
ficcanaso di nuvole
Questo rootkit dirotta Netfilter per nascondere comandi e furto di dati nel normale traffico web per aggirare i firewall.
Identificato per la prima volta nel cloud di Amazon Web Services a febbraio, il sistema può essere utilizzato per controllare il malware su qualsiasi server dietro qualsiasi firewall.
PowerGhost
Sempre a febbraio, i ricercatori di Trend Micro hanno scoperto che PowerGhost era passato da Windows a Linux. Questo è un minatore di criptovaluta senza file che può rallentare il tuo sistema e degradare l'hardware attraverso una maggiore usura.
La versione Linux può disinstallare o uccidere i prodotti anti-malware e rimane attiva utilizzando un'attività cron. Può installare altro malware, ottenere l'accesso root e diffondersi attraverso le reti utilizzando SSH.
FritzFrog
Da quando questa botnet peer-to-peer (P2P) è stata identificata per la prima volta nel gennaio 2020, sono state trovate altre 20 versioni. Le vittime includono governi, università, centri medici e banche.
Fritzfrog è un malware senza file, un tipo di minaccia che vive nella RAM anziché sul disco rigido e sfrutta le vulnerabilità del software esistente per svolgere il proprio lavoro. Invece dei server, utilizza il P2P per inviare comunicazioni SSH crittografate per coordinare gli attacchi su macchine diverse, aggiornarsi e garantire che il lavoro sia distribuito uniformemente su tutta la rete.
Sebbene sia senza file, Fritzfrog crea una backdoor utilizzando una chiave SSH pubblica per consentire l'accesso in futuro. Le informazioni di accesso per le macchine compromesse vengono quindi salvate nella rete.
Password complesse e autenticazione con chiave pubblica offrono protezione contro questo attacco. Anche cambiare la porta SSH o disattivare l'accesso SSH se non la stai utilizzando è una buona idea.
FinSpy
FinFisher vende FinSpy, associato allo spionaggio di giornalisti e attivisti, come soluzione di sorveglianza standard per i governi. Già visto su Windows e Android, Amnesty International ha scoperto una versione Linux del malware nel novembre 2019.
FinSpy consente l'intercettazione del traffico, l'accesso ai dati privati e la registrazione di video e audio da dispositivi infetti.
È venuto a conoscenza dell'opinione pubblica nel 2011 quando i manifestanti hanno trovato un contratto per l'acquisto di FinSpy negli uffici del brutale servizio di sicurezza egiziano dopo il rovesciamento del presidente Mubarak.
È tempo che gli utenti Linux inizino a prendere sul serio la sicurezza?
Anche se gli utenti Linux potrebbero non essere vulnerabili a tante minacce alla sicurezza come gli utenti Windows, non c'è dubbio che il valore e il volume dei dati detenuti dai sistemi Linux stiano rendendo la piattaforma più attraente per i criminali informatici.
Se l'FBI e la NSA sono preoccupati, allora i commercianti individuali o le piccole imprese che eseguono Linux dovrebbero iniziare a prestare maggiore attenzione alla sicurezza ora se vogliono evitare di diventare danni collaterali durante futuri attacchi a organizzazioni più grandi.
Ecco i nostri suggerimenti per proteggerti dal crescente elenco di malware Linux:
- Non eseguire binari o script da fonti sconosciute.
- Installa software di sicurezza come programmi antivirus e rilevatori di rootkit.
- Fai attenzione quando installi programmi che utilizzano comandi come curl. Non eseguire il comando finché non hai compreso appieno cosa farà, inizia qui la tua ricerca sulla riga di comando .
- Scopri come configurare correttamente il tuo firewall. Dovrebbe registrare tutta l'attività di rete, bloccare le porte inutilizzate e generalmente mantenere l'esposizione alla rete al minimo necessario.
- Aggiorna regolarmente il tuo sistema; impostare l'installazione automatica degli aggiornamenti di sicurezza.
- Assicurati che i tuoi aggiornamenti vengano inviati tramite connessioni crittografate.
- Abilita un sistema di autenticazione basato su chiave per SSH e password per proteggere le chiavi.
- Usa l'autenticazione a due fattori (2FA) e conserva le chiavi su dispositivi esterni come Yubikey.
- Controlla i log per le prove degli attacchi.