Una de les grans mentides i mites que solem escoltar i llegir molt sovint és que a «Linux no hi ha virus», "Linux no és un blanc d'atac per als hackers" i altres coses relacionades que "Linux és immune", cosa que és totalment falsa…
El que si podem posar en meitat veritat i meitat mentida, és que a Linux no té la mateixa quantitat de codi maliciós i atacs per part de hackers. Això és degut a una simple i senzilla raó, ja que al mercat linux no representa ni un 10% total de tots els ordinadors descriptori, per la qual cosa bàsicament no és rendible (per així anomenar-lo) per dedicar una gran quantitat de temps i esforç.
Però lluny d'això això no ha donat la pauta perquè la quantitat d'infeccions de codi maliciós dirigides a dispositius Linux segueixi en augment i és que pel que va ser el 2021 la quantitat va augmentar en un 35 % i això és degut al fet que amb més freqüència són reportats els dispositius IoT per a atacs DDoS (denegació de servei distribuïda).
Els IoT solen ser dispositius «intel·ligents» amb poca potència que executen diverses distribucions de Linux i estan limitats a una funcionalitat específica. No obstant això, quan els seus recursos es combinen en grans grups, poden llançar atacs DDoS massius fins i tot en infraestructures ben protegides.
A més de DDoS, els dispositius Linux IoT es recluten per extreure criptomonedes, facilitar campanyes d'spam, actuar com a repetidors, actuar com a servidors d'ordre i control, o fins i tot actuar com a punts d'entrada a les xarxes de dades.
Un informe de Crowdstrike que analitza les dades d'atacs del 2021 resumeix el següent:
- El 2021, hi va haver un augment del 35% en el codi maliciós adreçat a sistemes Linux en comparació del 2020.
- XorDDoS, Mirai i Mozi van ser les famílies més freqüents i van representar el 22% de tots els atacs de codi maliciós dirigits a Linux vistos el 2021.
- Mozi, en particular, ha experimentat un creixement explosiu en el negoci, amb deu vegades més mostres circulant a l'últim any en comparació amb l'anterior.
- XorDDoS també va experimentar un notable augment interanual del 123%.
A més d'això brinda una petita descripció general del codi maliciós:
- XorDDoS: és un troià Linux versàtil que funciona en múltiples arquitectures de sistemes Linux, des d'ARM (IoT) fins a x64 (servidors). Utilitza encriptació XOR per a comunicacions C2, per això el seu nom. En atacar dispositius IoT, els dispositius vulnerables de força bruta XorDDoS a través de SSH. En màquines Linux, utilitza el port 2375 per obtenir accés de root sense contrasenya al host. Un cas notable de distribució del codi maliciós es va mostrar el 2021 després que es va observar que un actor d'amenaces xinès conegut com Wintini ho implementava juntament amb altres xarxes de bots derivades.
- Mozi: és una botnet P2P (peer-to-peer) que es basa en el sistema Distributed Hash Table Lookup (DHT) per amagar comunicacions C2 sospitoses de les solucions de monitorització de trànsit de xarxa. Aquesta xarxa de bots en particular existeix des de fa força temps, afegint contínuament noves vulnerabilitats i ampliant el seu abast.
- Mirai: és una botnet notòria que ha generat moltes bifurcacions a causa del seu codi font disponible públicament i continua plagant el món de IoT. Els diversos derivats implementen diferents protocols de comunicació C2, però tots solen abusar de credencials febles per forçar-se a si mateixos als dispositius.
Diverses variants notables de Mirai es van cobrir el 2021, com ara Dark Mirai, que s'enfoca en encaminadors domèstics, i Moobot, que apunta a càmeres.
» Algunes de les variants més freqüents seguides pels investigadors de CrowdStrike involucren Sora, IZIH9 i Rekai», explica a l'informe l'investigador de CrowdStrike, Mihai Maganu. «En comparació del 2020, la quantitat de mostres identificades per a aquestes tres variants va augmentar un 33%, 39% i 83% respectivament el 2021. «
Les troballes de Crowstrike no són sorprenents, ja que confirmen una tendència contínua que ha sorgit en anys anteriors. Per exemple, un informe d'Intezer que analitza les estadístiques de 2020 va trobar que les famílies de codi maliciós de Linux van créixer un 40 % el 2020 en comparació amb l'any anterior.
En els primers sis mesos de 2020, es va registrar un fort augment del 500% al codi maliciós Golang, cosa que demostra que els creadors de codi maliciós estan buscant maneres de fer que el seu codi funcioni en diverses plataformes.
Aquesta programació i per extensió, la tendència de focalització, ja s'ha confirmat en els casos de principis del 2022 i s'espera que continuï sense parar.
font: https://www.crowdstrike.com/
la diferència és que un zero day en linux sol ser pegat en menys d'una setmana (com moltíssim) ia Windows alguns mai no es resolen.
La diferència és que el sistema de permisos i arquitectura de Linux fan molt més difícil obtenir permisos elevats des d'un compte d'usuari…
I la diferència que la majoria d'aquest treball és realitzat per voluntaris de l'opensource i no per grans corporacions que creen codi privatiu per amagar-nos el que passa a sota. L'Opensource és fàcilment auditable.
Però bé, teniu raó en una cosa, si augmenten els usuaris augmentaran els recursos per atacar-los i explorar vulnerabilitats si amb això es pot treure rèdits econòmics.
Per tant, és una bona notícia que augmenti el codi maliciós per a Linux. :)
I a IoT va ser el 100% de la culpa és del fabricant, el pegat de molts router Xiaomi que usen OpenWRT es va llançar 2 dies després que s'infectessin per Mirai, Xiaomi s'actualitzo a la setmana. Molts altres com els de TP-Link que també usen OpenWRT mai es van actualitzar
Al dia d'avui hi ha lavarropes infectats per Mirai i no s'actualitzen, sent només un pegat que han de llançar
Com a pas amb els servidors HP, mai van pegar Java i eren una vulnerabilitat coberta fa 2 anys