Aumentan los ciberataques dirigidos contra dispositivos basados en Linux

  • Endpoint

Con el objetivo de proteger sus sistemas, los departamentos de TI utilizan Linux con más frecuencia que antes. Los actores de amenazas, como Barium, Sofacy o Turla, están respondiendo a esto con la creación de herramientas sofisticadas que pueden penetrar dichos sistemas.

Recomendados: 

Inteligencia Artificial, ¿cómo lo aplico en mi empresa? Webinar

Creación de aplicaciones seguras: recomendaciones para los servicios financieros Leer 

Muchas organizaciones eligen Linux para servidores y sistemas de importancia estratégica, sobre todo porque se cree que este sistema operativo es más seguro y menos propenso a las ciberamenazas que el sistema operativo Windows, mucho más popular. Si bien este es el caso de los ataques masivos de malware, no está tan claro cuando se trata de amenazas persistentes avanzadas (APT). De hecho, los investigadores de Kaspersky han identificado que cada vez más actores de amenazas están ejecutando ataques dirigidos contra dispositivos basados en Linux mientras desarrollan más herramientas centradas en Linux.

Durante los últimos ocho años, se ha observado que más de una docena de actores de APT utilizan malware de Linux o algunos módulos basados en Linux. Estos incluyen grupos de amenazas como Barium, Sofacy, Lamberts y Equation, así como campañas más recientes como LightSpy de TwoSail Junk y WellMess. La diversificación de su arsenal con herramientas Linux permite a los atacantes realizar operaciones de manera más efectiva y con un alcance más amplio.

Si bien los ataques dirigidos a sistemas basados en Linux aún son poco comunes, ciertamente hay malware diseñado para ellos, incluidos webshells, puertas traseras, rootkits e incluso exploits personalizados. Además, la pequeña cantidad de ataques es engañosa, ya que el compromiso exitoso de un servidor que ejecuta Linux a menudo tiene consecuencias importantes. Los atacantes no solo pueden acceder al dispositivo infectado, sino también a los endpoints que ejecutan Windows o macOS, lo que brinda un acceso más amplio para los atacantes que podrían pasar desapercibidos.

Por ejemplo, Turla ha cambiado significativamente su conjunto de herramientas a lo largo de los años, incluido el uso de puertas traseras de Linux. Según la telemetría de Kaspersky, una nueva modificación de la puerta trasera de Linux Penguin_x64 ha infectado docenas de servidores en Europa y Estados Unidos en julio de este año.

Otro ejemplo es Lazarus, que continúa diversificando su conjunto de herramientas y desarrollando malware que no es de Windows. Kaspersky informó recientemente sobre el marco multiplataforma llamado MATA y, en junio de 2020, los investigadores analizaron nuevas muestras vinculadas a las campañas Lazarus ‘Operation AppleJeus’ y ‘TangoDaiwbo’, utilizadas en ataques financieros y de espionaje. Las muestras estudiadas incluyeron malware para Linux.