streda 23. februára 2022

Linux: Ransomvérové aj cryptojackingové útoky

A
ko najbežnejší cloudový operačný systém tvorí Linux kľúčovú súčasť digitálnej infraštruktúry a pre útočníkov sa rýchlo stáva vstupnou bránou do multicloudového prostredia. Súčasné opatrenia proti malvéru sa väčšinou zameriavajú na riešenie hrozieb namierených na systém Windows, takže veľa verejných a privátnych cloudových implementácií zostáva zraniteľných hlavne voči útokom, ktoré cielia na systémy založené na Linuxe.

Štúdia Odhaľovanie malwaru v linuxových multicloudových prostrediach podrobne popisuje, ako kybernetickí útočníci používajú malvér na napádanie linuxových operačných systémov. Medzi hlavné zistenia patria:
  • Ransomvér sa snaží zacieliť na operačné systémy serverov, ktoré slúžia na spúšťanie aplikácií vo virtualizovaných prostrediach.
  • 89 % útokov typu cryptojacking používa knižnice súvisiace s XMRig.
  • Viac ako polovica používateľov nástroja Cobalt Strike môžu byť kybernetickí zločinci. Alebo ho aspoň nepoužívajú ako testovací nástroj, na čo bol pôvodne určený, ale pre vlastný prospech.
„Kybernetickí zločinci zistili, že namiesto infikovania koncového bodu a postupu k cieľom s vyššou hodnotou, môže byť podstatne výhodnejšie napadnúť jediný server a získať tak prístup, o ktorý sa usilujú. Útočníci považujú verejné aj privátne cloudy za vysoko hodnotné ciele kvôli tomu, že poskytujú prístup k službám kritickej infraštruktúry a dôverným dátam. Dnešné opatrenia proti malvéru sa však väčšinou zameriavajú na obranu systémov Windows, takže mnoho verejných a privátnych cloudových implementácií zostáva zraniteľných voči útokom na linuxové operačné systémy“, dodal Giovanni Vigna.
Vzhľadom na to, že narastá množstvo aj dômyselnosť malvéru zameraného na operačné systémy založené na Linuxe, musia podniky klásť väčší dôraz na detekciu hrozieb. Analytická jednotka TAU spoločnosti VMware vo svojej štúdii analyzovala hrozby, s ktorými sa možno stretnúť pri operačných systémoch založených na Linuxe v multicloudových prostrediach: ransomware, nástroje na ťažbu kryptomien a nástroje na vzdialený prístup.

Ransomvér patrí k hlavným príčinám narušenia systémov a pre podniky a organizácie môže mať úspešný útok na cloudové prostredie katastrofické následky. Útoky proti cloudovým implementáciám bývajú cielené a mnohokrát sú spojené s vyvedením dát, čím útočníci získavajú možnosť dvojitého vydierania, a teda vyššiu šancu na úspech. Linuxový ransomvér sa snaží zacieliť na operačné systémy serverov, ktoré slúžia na spúšťanie aplikácií vo virtualizovaných prostrediach. Útočníci teraz hľadajú to najcennejšie, čo sa v cloudových prostrediach nachádza, aby napadnutému cieľu spôsobili maximálne škody. Ako príklad je možné uviesť rodinu ransomwaru Defray777, ktorá šifrovala operačné systémy na serveroch ESXi, alebo rodinu ransomwaru DarkSide, ktorá ochromila produktovody Colonial Pipeline a spôsobila v USA celoplošný nedostatok pohonných hmôt.

Kybernetickí zločinci, ktorí hľadajú okamžitý finančný zisk, sa často zameriavajú na kryptomeny jednou z dvoch obvyklých metód. Sú to jednak krádeže kryptomenových peňaženiek pomocou malvéru, jednak speňažovanie ukradnutých cyklov CPU, teda utajená ťažba kryptomien na úkor obete pri útoku zvanom cryptojacking. Väčšina cryptojackingových útokov sa zameriava na ťažbu meny Monero (XMR) a analytický tím VMware TAU zistil, že v 89 % prípadov sú na ťažbu používané knižnice súvisiace s XMRig. Z tohto vyplýva, že ak sú v binárnych súboroch Linuxu odhalené knižnice a moduly špecifické pre XMRig, je to pravdepodobne dôkaz neoprávnenej ťažby kryptomien. Tím VMware TAU si tiež všimol, že najčastejšie používanou technikou nástrojov na ťažbu kryptomien na Linuxe je obchádzanie obranných mechanizmov. 

Aby útočníci získali kontrolu a udržali sa v napadnutom prostredí, snažia sa do systému nainštalovať nástroje, ktoré ho umožnia na diaľku čiastočne ovládať. Na to môže slúžiť malvér, webshelly alebo nástroje pre vzdialený prístup (RAT). Jedným z najčastejšie používaných je komerčný produkt pre penetračné testovanie Cobalt Strike a jeho nedávno vydaný variant Vermilion Strike pre Linux. Cobalt Strike je veľmi rozšírenou hrozbou pre systémy Windows a jeho rozšírenie na operačný systém Linux dokazuje snahu útočníkov pokryť čo najviac platforiem pomocou ľahko dostupných nástrojov. Tím VMware TAU medzi februárom 2020 a novembrom 2021 na internete objavil vyše 14.000 aktívnych serverov Cobalt Strike Team. Celkový podiel prelomených a uniknutých ID zákazníkov Cobalt Strike dosahuje 56 %, čo znamená, že viac ako polovica používateľov Cobalt Strike môžu byť kybernetickí zločinci, alebo aspoň užívajú Cobalt Strike nezákonne. Skutočnosť, že RAT ako Cobalt Strike a Vermilion Strike sa stali bežným nástrojom v rukách počítačových zločincov, predstavuje pre podniky významnú hrozbu.