Linux ei pruugi operatsioonisüsteemi töötavate süsteemide vastu suunatud rünnete arvu osas Windowsiga võrrelda, kuid ohustajate huvi Linuxi-põhiste serverite ja tehnoloogiate vastu on viimasel ajal märkimisväärselt kasvanud.
Trend Micro sel nädalal avaldatud aruande kohaselt on see tõenäoliselt vastuseks Linuxi infrastruktuuride kasvavale ettevõtte kasutusele – eriti pilves – missioonikriitiliste rakenduste ja andmete majutamiseks. Ettevõte tuvastas 75. aasta esimesel poolel Linuxi süsteemidele suunatud lunavararünnakute 2022% kasvu võrreldes eelmise aasta sama perioodiga.
Aruandes öeldi ka, et ettevõtte teadlased märkasid 1,961 Linuxi-põhise lunavararünnaku katset oma klientidele 2022. aasta esimese kuue kuu jooksul võrreldes 1,121-ga 1. aasta esimesel poolel.
Kiiruga Linux, VMware ESXi lunavara rünnakud
Kasv oli kooskõlas Trend Micro varasemate tähelepanekutega ohustajate kohta laiendades oma jõupingutusi, et sihtida Linuxi platvorme ja ESXi serverid, mida paljud organisatsioonid kasutavad virtuaalmasinate ja konteinerite haldamiseks.
Turvamüüja on kirjeldanud, et trendi juhivad REvili ja DarkSide'i lunavaraperekondade operaatorid ning see on saanud hoogu, kui eelmise aasta oktoobris avaldati Linuxi ja VMware ESXi süsteemidele mõeldud lunavara variant LockBit.
Selle aasta alguses täheldasid Trend Micro teadlased veel üht varianti nimega "Cheerscrypt" looduses, mis oli samuti suunatud ESXi serveritele. Ja mitmed teised turvamüüjad on jälgimisest teatanud muud lunavarad, nagu Luna ja Black Basta mis suudab andmeid krüptida Linuxi süsteemides.
Ransomware on praegu suurim, kuid pole ainus Linuxi süsteemidele suunatud oht. VMware selle aasta alguses avaldatud aruandes märgiti ka krüptovõrgu ja Linuxi keskkondade ründamiseks mõeldud kaugjuurdepääsu troojalaste (RAT) kasutamise kasvu.
Näiteks avastas ettevõte, et ohus osalejad kasutavad pahavara (nt XMRig) Linuxi masinate protsessori tsüklite varastamiseks Monero ja muude krüptovaluutade kaevandamiseks.
"Linuxis pahavara krüptoomimine suurenes esimesel poolel, tõenäoliselt seetõttu, et pilvepõhise krüptokaevandamise puhul on seda ohtu toime pannud pahatahtlikud osalejad," märgib Trend Micro ohuteabe asepresident Jon Clay.
VMware'i aruandes täheldati ka selliste tööriistade nagu Cobalt Strike laialdasemat kasutamist Linuxi süsteemide sihtimiseks ja Cobalt Strike'i Linuxi juurutamise nimega "Vermilion Strike" tekkimist.
Nagu Trend Micro, märkis ka VMware mahu ja keerukuse suurenemine lunavararünnakute kohta Linuxi infrastruktuuri vastu – eelkõige hostipiltide töökoormuse jaoks virtuaalses keskkonnas. Ettevõte kirjeldas paljusid Linuxi süsteemide vastu suunatud lunavararünnakuid pigem sihitud kui oportunistlikena ning kombineerides andmete väljafiltreerimist ja muid väljapressimisskeeme.
Sissepääs väärtuslikku ettevõttekeskkonda
Windows on endiselt – ülekaalukalt – kõige enam sihitud operatsioonisüsteem, lihtsalt selle installibaasi suuruse tõttu. Clay ütleb, et 63 miljardist ohust, mille Trend Micro 2022. aasta esimesel poolel klientide jaoks blokeeris, oli Linuxi põhine vaid väga väike osa. Kuigi 1. aasta esimesel poolel tuvastati miljoneid Linuxi ohutuvastusi, toimus samal perioodil miljardeid rünnakuid Windowsi süsteemidele, ütleb ta.
Kuid kasvavad rünnakud Linuxi süsteemide vastu on murettekitavad, kuna Linuxit hakatakse kasutama ettevõtte andmetöötluse infrastruktuuri kriitilistes valdkondades. VMware tõi oma aruandes välja, et Linux on multipilvekeskkondades kõige levinum operatsioonisüsteem ja 78% populaarsematest veebisaitidest töötab Linuxi toel. Seega võivad edukad rünnakud nendele süsteemidele põhjustada organisatsiooni tegevusele märkimisväärset kahju.
"Linuxil põhinevaid süsteeme sihiv pahavara on kiiresti muutumas ründajate teeks väärtuslikesse mitme pilvekeskkondadesse," hoiatas VMware.
Sellegipoolest võivad turvakaitsed olla maha jäänud, märgib Clay.
"Ohutegijad näevad võimalusi seda operatsioonisüsteemi rünnata, kuna sagedamini nähakse seda äritegevuse kriitilistes valdkondades," ütleb ta. "Kuna ajalooliselt pole sellele sihitud palju ohte, võivad turvakontrollid puududa või ei ole selle kaitsmiseks korralikult lubatud."
Linuxi keskkondade kaitsmine
Teadlaste sõnul peavad Linuxi administraatorid oma süsteemide kaitsmiseks kõigepealt järgima standardseid turvalisuse parimaid tavasid, näiteks hoidma süsteemid paigatud, minimeerima juurdepääsu ja tegema regulaarseid skannimisi.
Vulcan Cyberi vanemtehniline insener Mike Parkin ütleb, et riskide hindamisel ja paikade haldamisel on oluline märkida suuri erinevusi selles, kuidas Linuxi ja Windowsi põhiseid süsteeme kasutatakse. Linuxi süsteemid on tavaliselt serverid, mida leidub nii kohapeal kui ka pilves. Kuigi Windowsi servereid on palju, on palju rohkem Windowsi töölaudu ja sageli on need need, mis on sihikule seatud, kusjuures serverid on sellest esialgsest Windowsi varbast ohustatud.
Lisaks peaks organisatsiooni keskmes olema Linuxi kasutajate teadlikkus sotsiaalsest insenerist.
"Loodetavasti langevad Linuxi süsteemiadministraatorid tüüpiliste andmepüügi ja sotsiaalse manipuleerimise rünnakute alla harvemini kui tavaelanikkond," ütleb Parkin. "Kuid kehtivad standardsed nõuanded - kasutajaid tuleb koolitada, et nad oleksid osa lahendusest, mitte rünnakupinnast."
Vahepeal ütleb Clay, et esimene asi, mida organisatsioonid peavad tegema, on inventeerida kõik Linuxi-põhised süsteemid, mida nad kasutavad, ja seejärel rakendada Linuxi-põhist turbemeetodit, et kaitsta end erinevate ohtude eest.
"Ideaaljuhul oleks see osa küberturbeplatvormist, kus nad saaksid turvakontrolli automaatselt juurutada, kui Linuxi süsteemid võrku tulevad ja modelleerida oma juhtelemente Windowsi-põhiste süsteemide jaoks," ütleb ta. "Veenduge, et see hõlmab selliseid tehnoloogiaid nagu masinõpe, virtuaalne lappimine, rakenduste juhtimine, terviklikkuse jälgimine ja logikontroll."
