Los grupos de APT fijan la vista en los destinos de Linux: dentro del …



Los investigadores ven grupos de ataque más avanzados que crean herramientas y plataformas para atacar dispositivos basados ​​en Linux.

Un aumento constante de los grupos de amenazas persistentes avanzadas (APT) dirigidos a los recursos de Linux ha llevado a los investigadores a compartir los detalles de estos ataques y explicar los conceptos erróneos sobre la seguridad de Linux, así como cómo las organizaciones pueden proteger mejor sus máquinas Linux.

El Equipo de Investigación y Análisis International de Kaspersky (Terrific) ha observado esta tendencia constante durante los últimos ocho años, dice el investigador Yury Namestnikov. Cada vez más grupos avanzados están creando herramientas, e incluso plataformas, para apuntar a dispositivos que ejecutan software package Linux, dice.

Existe una opinión generalizada de que el sistema operativo Linux es seguro por defecto y no es vulnerable a códigos maliciosos. La thought errónea se basa en la idea de que los ciberdelincuentes tienen menos malware e interés en los servidores y escritorios de Linux. Se ha escrito mucho sobre los ataques dirigidos a Home windows, la plataforma donde Kaspersky encuentra la mayoría de las herramientas de ataque APT.

Si bien Linux no se ha enfrentado a la avalancha de virus, gusanos y troyanos que han visto los sistemas Windows, los investigadores enfatizan que sigue siendo un objetivo atractivo. Los ciberatacantes tienen puertas traseras PHP, rootkits y código de explotación escrito para Linux, pero muchas empresas no están muy preocupadas por eso.

Las implicaciones son peligrosas. Como resultado, los departamentos de seguridad de la información y los equipos de seguridad de los proveedores de program están menos enfocados en mitigar este problema, creando una situación en la que las organizaciones tienen menos visibilidad y herramientas para proteger los escritorios, servidores e IoT de Linux.

«No es cierto para todas las organizaciones, pero desafortunadamente, es una situación común en muchos casos», explica Namestnikov. «Y cuando empezamos a hablar de ataques dirigidos, podemos ver fácilmente que casi todos los actores de amenazas graves tienen algunas herramientas sorpresa para piratear y controlar las máquinas que ejecutan Linux.

Hay muchas razones por las que los grupos APT apuntan a Linux sobre Windows, dice. Un aspect clave es la tendencia hacia la contenedorización, que ha impulsado la adopción de Linux. Por lo normal, se puede acceder a las máquinas desde Net y pueden servir como un punto de entrada inicial para los atacantes. Un cambio a la virtualización y la contenedorización significa que casi todas las empresas usan Linux en algunas tareas diarias.

Muchas organizaciones usan más dispositivos Linux y macOS que sistemas Windows, agrega Namestnikov, lo que no les da a los atacantes otra opción. Entre ellos se encuentran las empresas de TI, las empresas de telecomunicaciones y los gobiernos. En algunas regiones hay un movimiento para adoptar más Linux en entornos de escritorio, especialmente en esferas gubernamentales y de defensa como Turquía y China, señala.

La telemetría de Kaspersky indica que los servidores son el objetivo más común de estos ataques, seguidos de los dispositivos de pink y TI corporativos, y luego las estaciones de trabajo. Ha habido casos en los que los atacantes utilizaron enrutadores comprometidos, que ejecutan Linux, como comando y manage para implantes de Home windows en la misma pink, señala Namestnikov.

Los servidores deberían ser una preocupación principal, escriben los investigadores en su análisis completo. La importancia estratégica de los servidores basados ​​en Linux los convierte en un objetivo candente. Si un atacante puede poner en peligro un servidor Linux, ambos podrían obtener acceso a los datos de ese servidor y los puntos finales de destino que ejecutan Windows o macOS que pueden estar conectados.

Una amenaza en evolución
Los atacantes han realizado cambios en el malware de Linux y los ataques dirigidos a dispositivos Linux. Cuando comenzaron a escribir malware, su objetivo era manipular el tráfico de la purple. Esto quedó claro en el caso de Cloud Snooper, un actor de amenazas que usó un rootkit del kernel de Linux orientado al servidor diseñado para conectar las funciones de management de tráfico de Netfilter y la comunicación de comando y handle que cruzaba el firewall del objetivo.

Los investigadores señalan que el mismo objetivo fue evidente para Barium / APT41. Este grupo comenzó en 2013 con el objetivo de obtener beneficios económicos de las empresas de juegos de azar con el tiempo, desarrolló nuevas herramientas y buscó objetivos más complicados. Empleó malware de Linux denominado MessageTap, que los atacantes usaban para interceptar mensajes SMS de la infraestructura de los proveedores de telecomunicaciones.

Los atacantes de APT que se dirigen a Linux a menudo usan herramientas legítimas que están disponibles en servidores y escritorios basados ​​en Linux, por ejemplo, la capacidad de compilar código o ejecutar scripts de Python, lo que finalmente deja menos rastros en los registros, dice Namestnikov. Lo más preocupante, dice, es su capacidad para esconderse en dispositivos Linux y salir y regresar cuando quieran.

Para hacer esto, explica, pueden infectar IoT o cajas de red, o reemplazar archivos legítimos en servidores comprometidos. Debido a que estos servidores no se actualizan con frecuencia y, en muchos casos, no tienen antivirus instalado, estos reemplazos a menudo se ven demasiado tarde, si es que se ven.

Si bien Linux sigue siendo un objetivo menos frecuente que Windows, los investigadores recomiendan a las empresas que tomen medidas para proteger sus entornos de este tipo de ataques. Su primer consejo es mantener una lista de fuentes confiables de software y solo instalar aplicaciones de tiendas oficiales. Linux puede brindar más libertad, pero presiona a las organizaciones para que descarguen software de manera inteligente.

Más allá de esto, recomiendan verificar la configuración de red y evitar aplicaciones de crimson innecesarias. También se recomienda a las organizaciones que configuren correctamente su firewall desde la distribución de Linux para filtrar el tráfico y almacenar la actividad de la red del host. Otras sugerencias incluyen proteger las claves SSH almacenadas localmente que se utilizan para los servicios de purple y configurar la autenticación multifactor para las sesiones SSH.

Kelly Sheridan es la editora de individual de Darkish Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first