Wiele organizacji wybiera Linuksa dla swoich serwerów i systemów o znaczeniu strategicznym, głównie dlatego, że jest on uważany za bezpieczniejszy i mniej podatny na cyberzagrożenia niż znacznie popularniejszy Windows. I choć w przypadku masowych ataków z wykorzystaniem szkodliwego oprogramowania jest to prawda, nie można tego samego powiedzieć, jeśli chodzi o zaawansowane, długotrwałe zagrożenia (APT). Badacze z firmy Kaspersky odkryli, że coraz więcej cybergangów przeprowadza ataki ukierunkowane na urządzenia oparte na Linuksie, rozwijając jednocześnie więcej narzędzi przeznaczonych dla tego systemu.
Na przestrzeni ostatnich ośmiu lat zaobserwowano kilkanaście ugrupowań APT wykorzystujących szkodliwe oprogramowanie dla systemu Linux lub pewne moduły oparte na Linuksie. Wśród nich znalazły się znane cybergangi takie jak Barium, Sofacy, the Lamberts oraz Equation, jak również nowsze kampanie, takie jak LightSpy czy WellMess. Rozszerzenie własnego arsenału o narzędzia dla Linuksa umożliwia ugrupowaniom cyberprzestępczym większą skuteczność i szerszy zasięg przeprowadzanych operacji.
W wielu krajach można zauważyć wyraźny trend w kierunku wykorzystywania Linuksa jako głównego środowiska w dużych korporacjach, jak również w podmiotach rządowych, co skłania ugrupowania cyberprzestępcze do tworzenia szkodliwego oprogramowania dla tej platformy.
Zagrożenie zwiększa dodatkowo krążący na temat Linuksa mit, jakoby ze względu na status mniej popularnego systemu operacyjnego był on rzadziej atakowany przez szkodliwe oprogramowanie. Chociaż ataki ukierunkowane na systemy oparte na Linuksie wciąż zdarzają się rzadko, szkodliwe oprogramowanie tworzone dla tego systemu istnieje, łącznie backdoorami, rootkitami, a nawet uszytymi na miarę exploitami wykorzystującymi luki w zabezpieczeniach. Ponadto niewielka liczba ataków może dawać mylne wyobrażenie rzeczywistego zagrożenia, ponieważ skuteczne złamanie zabezpieczeń serwera działającego pod kontrolą Linuksa często prowadzi do poważnych konsekwencji. Atakujący mogą nie tylko uzyskać dostęp do zainfekowanego urządzenia, ale również do punktów końcowych działających pod kontrolą systemu Windows lub macOS, co pozostanie niezauważone.
Jako przykład można przytoczyć rosyjskojęzyczne ugrupowanie Turla, znane z zaawansowanych technik kradzieży danych, które z czasem znacząco zmodyfikowało swój zestaw narzędzi m.in. o backdoory dla systemu Linux. Nowa modyfikacja backdoora Penguin_x64, o której informowano wcześniej tego roku, zainfekowała w lipcu 2020 r., według telemetrii firmy Kaspersky, dziesiątki serwerów w Europie i Stanach Zjednoczonych.
Innym przykładem jest Lazarus, koreańskojęzyczne ugrupowanie APT, które nieustannie rozszerza swój zestaw narzędzi i rozwija szkodliwe oprogramowanie przeznaczone dla systemów operacyjnych innych niż Windows. Firma Kaspersky informowała niedawno o wieloplatformowym zestawie narzędzi o nazwie MATA, a w czerwcu 2020 r. badacze analizowali nowe próbki związane z kampaniami AppleJeus oraz TangoDaiwbo tego ugrupowania, wykorzystane w atakach finansowych i szpiegowskich. Wśród badanych próbek znajdowało się szkodliwe oprogramowanie dla systemu Linux.
Trend w kierunku udoskonalania zestawów narzędzi APT został wielokrotnie zidentyfikowany przez naszych ekspertów w przeszłości i narzędzia tworzone dla Linuksa nie są wyjątkiem. W celu zapewnienia lepszej ochrony swoim systemom działy IT oraz bezpieczeństwa częściej decydują się na tę platformę, a w odpowiedzi ugrupowania cyberprzestępcze tworzą wyrafinowane narzędzia, które potrafią ją atakować. Eksperci ds. bezpieczeństwa powinni uwzględnić ten trend i zastosować dodatkowe środki w celu ochrony swoich serwerów i stacji roboczych – powiedział Jurij Namiestnikow z Globalnego Zespołu ds. Badan i Analiz firmy Kaspersky.