Linux, jako najbardziej rozpowszechniony system operacyjny w chmurze, jest kluczową częścią infrastruktury cyfrowej i szybko staje się przepustką do ataku na środowiska wielochmurowe. Dotychczas stosowane środki przeciwdziałania skupiają się głównie na zagrożeniach opartych na systemie Windows. Wiele wdrożeń chmur publicznych i prywatnych pozostaje podatnych na ataki, których celem są obciążenia oparte na Linuksie.
VMware opublikował raport na temat zagrożeń „Exposing Malware in Linux-Based Multi-Cloud Environments”. Kluczowe wnioski, w jaki sposób cyberprzestępcy wykorzystują złośliwe oprogramowanie do ataku na systemy operacyjne oparte na Linuksie, obejmują:
- Ransomware ewoluuje i obiera za cel narzędzia (np. hosty) używane do uruchamiania obciążeń w środowiskach zwirtualizowanych;
- 89% ataków cryptojackingowych wykorzystuje biblioteki związane z XMRig
- Ponad połowa użytkowników Cobalt Strike może być cyberprzestępcami lub co najmniej używać tego narzędzia nielegalnie.
– Cyberprzestępcy radykalnie rozszerzają obszar działania i uwzględniają w swoim arsenale złośliwe oprogramowanie, które atakuje systemy operacyjne oparte na Linuksie. Ma to zmaksymalizować ich skutecznośc włamania przy jak najmniejszym wysiłku – powiedział Andrzej Szymczak, Lead Solution Engineer w VMware. Zamiast infekować urządzenia (komputery, laptopy, telefony), czyli punkty końcowe, by kolejno przenosić się na bardziej dochodowy cel, cyberprzestępcy odkryli, że ofensywa na pojedynczy serwer może przynieść ogromne zyski i zapewnić dostęp do danych, w szczególności wrażliwych, i mocy obliczeniowej Atakujący postrzegają zarówno chmury publiczne, jak i prywatne jako cenne ze względu na dostęp do krytycznych usług infrastrukturalnych i poufnych danych.
Ilość i złożoność szkodliwego oprogramowania skierowanego na systemy operacyjne oparte na Linuksie stale wzrasta, dlatego organizacje muszą przykładać większą wagę do ich wykrywania. Jednostka VMware Threat Analysis Unit (TAU) przeanalizowała linuksowe zagrożenia w środowiskach wielochmurowych. Najczęściej stosowane przez atakujących narzędzia to: ransomware, cryptominery i narzędzia zdalnego dostępu.
Na skróty:
Ransomware celuje w chmurę, aby wyrządzić jak najwięcej szkód
Udany atak ransomware na środowisko chmury może mieć druzgocące konsekwencje. Próby naruszenia są ukierunkowane i często łączone z eksfiltracją danych, wprowadzając schemat podwójnego wymuszenia — kradzież danych oraz ich zaszyfrowanie w zaatakowanym przedsiębiorstwie.
Takie ataki są również powszechne w Polsce — przykładem jest firma CD Projekt. Działanie dwutorowe – szyfrowanie danych oraz ich kradzież zwiększa szanse na szybki i duży zysk. Nowe zjawisko pokazuje, że ransomware oparte na Linuksie ewoluuje i obiera za cel narzędzia używane do uruchamiania różnego rodzaju oprogramowania w środowiskach również zwirtualizowanych.
Hakerzy szukają teraz cenniejszych zasobów w środowiskach chmurowych, aby zadać celowi maksymalne szkody. Przykłady obejmują rodzinę ransomware Defray777, która zaszyfrowała obrazy na serwerach ESXi, oraz grupę ransomware DarkSide, która sparaliżowała sieci Colonial Pipeline, powodując ogólnokrajowy deficyt benzyny w USA.
Cryptojacking wykorzystuje XMRig do wydobywania Monero
Cyberprzestępcy szukający łatwego zarobku często mają na celu kryptowaluty. Cyberprzestępcy albo umieszczają w złośliwym oprogramowaniu mechanizm kradzieży portfela, albo wykorzystują do wydobycia przechwyconą moc procesora w ramach ataku zwanego cryptojacking. Większość takich ataków skupia się na wydobyciu waluty Monero (XMR).
VMware TAU odkryło, że 89% kryptominerów korzystało z bibliotek związanych z XMRig. Z tego powodu, gdy w binariach Linuksa zostaną wykryte biblioteki i moduły specyficzne dla XMRig, jest to prawdopodobnie dowód na włamanie. VMware TAU zaobserwowało również, że unikanie zabezpieczeń jest najczęściej stosowaną przy atakach na Linuksa. Te, niestety, nie zakłócają całkowicie działania środowisk chmurowych tak jak ransomware, dlatego są one znacznie trudniejsze do wykrycia.
Cobalt Strike jako narzędzie zdalnego ataku
W celu przejęcia kontroli i utrzymania się w środowisku cyberprzestępcy próbują zainstalować w systemie implant, który daje im częściową kontrolę nad maszyną. Malware, webshells i Remote Access Tools (RAT) mogą być użyte w zagrożonym systemie, aby umożliwić zdalny dostęp. Jednym z podstawowych narzędzi wykorzystywanych przez atakujących jest Cobalt Strike, komercyjne narzędzie do przeprowadzania testów penetracyjnych i pracy w zespole red team, oraz jego najnowszy wariant oparty na Linuksie — Vermilion Strike. Jest to tak wszechobecne zagrożeniem w systemie Windows, że rozszerzenie go Linuksa unaocznia dążenia cyberprzestępców do korzystania z łatwo dostępnych narzędzi, które są ukierunkowane na tak wiele platform, jak to tylko możliwe.
Zespół VMware TAU między lutym 2020 a listopadem 2021 wykrył w Internecie ponad 14 000 aktywnych serwerów Cobalt Strike Team. Łączny odsetek złamanych i wyciekłych identyfikatorów klientów Cobalt Strike wynosi 56%, co oznacza, że ponad połowa użytkowników może być cyberprzestępcami lub przynajmniej nielegalnie używać Cobalt Strike. Fakt, że narzędzia RAT stały się narzędziem złoczyńców, stanowi poważne zagrożenie dla przedsiębiorstw.
– Od czasu przeprowadzenia naszej analizy zaobserwowano, że jeszcze więcej rodzajów ransomware upodobało sobie Linuksa, To rodzi możliwość dodatkowych ataków, które mogą wykorzystywać luki np. w Log4j – powiedział Piotr Kraś, Senior Manager Solution Engineering w VMware. Wnioski z raportu mogą być wykorzystane do pełniejszego zrozumienia natury złośliwego oprogramowania opartego na systemie Linux i złagodzenia rosnącego zagrożenia, jakie ransomware, cryptomining i RAT stanowią dla środowisk wielochmurowych. Ataki wymierzone w clouda wciąż ewoluują, dlatego powinniśmy przyjąć podejście Zero Trust, aby osadzić zabezpieczenia w całej infrastrukturze i systematycznie zajmować się wektorami zagrożeń, które tworzą powierzchnię dla ataku.
