Vmware провела дослідження загроз шкідливого програмного забезпечення на основі шкідливих програм Linux, що викривають шкідливе програмне забезпечення в багатохмарних середовищах на базі Linux

Linux, як найпоширеніша хмарна операційна система, є основним компонентом цифрової  інфраструктури і тому часто стає мішенню зловмисників для проникнення в мультихмарне середовище. Більшість рішень для захисту від шкідливих програм в першу чергу орієнтовані на захист пристроїв на базі Windows. Це робить багато публічних і приватних хмар вразливими до атак, спрямованих на робочі навантаження за допомогою Linux.

Ключові висновки, які описують сценарії атаки на Linux шкідливих програм, включають: програми-вимагачі все частіше націлюються на сервери, що використовуються для розгортання робочих навантажень у віртуалізованих середовищах; 89% атак криптошахрайства використовують бібліотеки, пов'язані з криптомінером XMRig; більше половини користувачів кобальтового удару можуть бути кіберзлочинцями або, принаймні, використовувати Cobalt Strike незаконно.

«Кіберзлочинці розширюють свою діяльність і додають до свого арсеналу шкідливе програмне забезпечення, націлене на операційні системи на базі Linux, щоб максимізувати вплив з мінімальними зусиллями», - сказав старший директор Vmware з розвідки загроз безпеці. Злом одного сервера може принести зловмисникам великий прибуток і забезпечити доступ до основної цілі без необхідності атакувати кінцевий пристрій. Зловмисники атакують як публічні, так і приватні хмарні середовища. На жаль, існуючі засоби захисту від шкідливих програм в основному спрямовані на усунення загроз серверам під управлінням Windows, тому багато хмар стають вразливими до атак, основне призначення яких - ОС на базі Linux ».

Успішні атаки програм-вимагачів на хмарні середовища можуть мати катастрофічні наслідки для безпеки. Атаки програм-вимагачів на сервіси, розгорнуті в хмарних середовищах, часто поєднуються з порушеннями даних, саме так реалізується схема подвійних програм-вимагачів. Програми-вимагачі еволюціонували для атаки/залучення хостів, що використовуються для розгортання робочих навантажень у віртуалізованих середовищах. Зловмисники зараз шукають найцінніші активи в хмарних середовищах, щоб завдати максимальної шкоди. Прикладами можуть служити програми-вимагачі Defray777, які шифрували дані на серверах ESXi, і програми-вимагачі DarkSide , які скалічили мережі Colonial Pipeline , викликаючи дефіцит бензину по всій території США.

Кіберзлочинці, спрямовані на отримання швидкого прибутку, часто полюють за криптовалютою, використовуючи один з двох підходів до атаки: введення шкідливих програм для крадіжки з онлайн-гаманців; монетизувати вкрадені цикли процесора для майнінгу криптовалюти (так зване криптошахрайство). Більшість цих атак зосереджені на майнінгу валюти Monero (або XMR) – 89% атак криптошахрайства використовують бібліотеки, пов'язані з XMRig. Саме тому, коли в бінарях Linux виявляються специфічні для XMRig бібліотеки і модулі , це свідчить про шкідливу активність з метою криптомайнінгу.

Щоб встановити контроль і залишитися в навколишньому середовищі, зловмисники прагнуть встановити в скомпрометовану систему вкладку програмного забезпечення, яка дасть їм частковий контроль над пристроєм. В систему можуть бути вбудовані шкідливі програми, веб-сайти і засоби віддаленого доступу. Однією з основних програмних закладок є Cobalt Strike, комерційний інструмент тестування на проникнення, а також інструменти Red Team та Vermilion Strike на базі Linux .

У період з лютого 2020 року по листопад 2021 року підрозділ розвідки загроз Vmware виявив у мережі понад 14 000 активних серверів Cobalt Strike Team. Загальна частка ідентифікаторів клієнтів Cobalt Strike, зламаних і завантажених в мережу, становить 56%, тобто більше половини користувачів cobalt Strike можуть бути кіберзлочинцями або, принаймні, використовувати Cobalt Strike незаконно. Той факт, що такі інструменти віддаленого доступу, як Cobalt Strike і Vermilion Strike, стали широко використовуватися кіберзлочинцями, становить серйозну загрозу для компаній.

«Наше дослідження показало, що все більше сімейств програм-вимагачів переходять в категорію шкідливих програм на базі Linux, існує ймовірність атак , які можуть використовувати вразливості Log4j», - сказав менеджер з дослідження загроз Vmware. «Висновки нашого звіту можуть бути використані для кращого розуміння природи шкідливого програмного забезпечення на базі Linux і містять зростаючу загрозу, яку зараз становлять програми-вимагачі, криптомінери та програми віддаленого доступу для мультихмарних середовищ. Оскільки атаки, націлені на хмару, продовжують розвиватися, організації повинні дотримуватися концепції Zero Trust про «нульову довіру», щоб забезпечити безпеку всієї інфраструктури».