Un delle grandi bugie e miti che di solito sentiamo e leggere molto spesso è che in “Linux non ci sono virus”, "Linux non è un bersaglio per gli hacker" e altre cose relative a "Linux è immune", il che è totalmente falso...
E se potessimo mettere metà verità e metà bugia, è che Linux non ha la stessa quantità di malware e attacchi da parte degli hacker. Ciò è dovuto ad un semplice e semplice motivo, visto che nel mercato linux non rappresenta nemmeno il 10% di tutti i computer desktop, quindi praticamente non è redditizio (si fa per dire) spendere una grande quantità di tempo e fatica.
Ma tutt'altro, che non ha dato il tono per il numero di infezioni da malware che prendono di mira i dispositivi Linux continua ad aumentare ed è che per quello che era il 2021 l'importo è aumentato del 35% e questo perché i dispositivi IoT vengono segnalati più frequentemente per attacchi DDoS (distributed denial of service).
Gli IoT sono spesso dispositivi "intelligenti" a bassa potenza che eseguono varie distribuzioni Linux e sono limitati a funzionalità specifiche. Ma nonostante, quando le loro risorse vengono combinate in grandi gruppi, possono lanciare massicci attacchi DDoS anche in infrastrutture ben protette.
Oltre agli attacchi DDoS, i dispositivi IoT Linux vengono reclutati per estrarre criptovaluta, facilitare campagne di spam, fungere da relè, fungere da server di comando e controllo o persino fungere da punti di accesso alle reti di dati.
Un reportage di Crowdstrike l'analisi dei dati sugli attacchi del 2021 riassume quanto segue:
- Nel 2021, rispetto al 35, si è verificato un aumento del 2020% del malware rivolto ai sistemi Linux.
- XorDDoS, Mirai e Mozi erano le famiglie più diffuse, rappresentando il 22% di tutti gli attacchi malware diretti a Linux visti nel 2021.
- Mozi, in particolare, ha visto una crescita esplosiva del business, con un numero di campioni in circolazione dieci volte superiore nell'ultimo anno rispetto all'anno precedente.
- XorDDoS ha anche registrato un notevole aumento del 123% anno su anno.
Inoltre, fornisce una breve descrizione generale del malware:
- XordDoS: è un versatile Trojan Linux che funziona su più architetture di sistema Linux, da ARM (IoT) a x64 (server). Utilizza la crittografia XOR per le comunicazioni C2, da cui il nome. Quando attacchi i dispositivi IoT, forza bruta i dispositivi vulnerabili XorDDoS tramite SSH. Su macchine Linux, utilizzare la porta 2375 per ottenere l'accesso root senza password all'host. Un caso notevole di distribuzione del malware è stato mostrato nel 2021 dopo che un attore di minacce cinese noto come "Winnti" è stato osservato mentre lo distribuiva insieme ad altre botnet spin-off.
- Mozzi: è una botnet P2P (peer-to-peer) che si basa sul sistema DHT (Distributed Hash Table Lookup) per nascondere le comunicazioni C2 sospette dalle soluzioni di monitoraggio del traffico di rete. Questa particolare botnet è in circolazione da un po' di tempo, aggiungendo continuamente nuove vulnerabilità ed espandendo la sua portata.
- Aspetto: è una famigerata botnet che ha generato molti fork grazie al suo codice sorgente disponibile pubblicamente e continua ad affliggere il mondo dell'IoT. I vari derivati implementano diversi protocolli di comunicazione C2, ma spesso abusano di credenziali deboli per imporsi nei dispositivi.
Diverse varianti notevoli di Mirai sono state coperte nel 2021, come "Dark Mirai", che si concentra sui router domestici e "Moobot", che prende di mira le telecamere.
"Alcune delle varianti più diffuse seguite dai ricercatori di CrowdStrike coinvolgono Sora, IZIH9 e Rekai", spiega il ricercatore di CrowdStrike Mihai Maganu nel rapporto. "Rispetto al 2020, il numero di campioni identificati per queste tre varianti è aumentato rispettivamente del 33%, 39% e 83% nel 2021".
I risultati di Crowstrike non sono sorprendenti, come confermano una continua tendenza emersa negli anni precedenti. Ad esempio, un rapporto di Intezer che esamina le statistiche del 2020 ha rilevato che le famiglie di malware Linux sono cresciute del 40% nel 2020 rispetto all'anno precedente.
Nei primi sei mesi del 2020, c'è stato un forte aumento del 500% del malware Golang, a dimostrazione del fatto che gli autori di malware sono alla ricerca di modi per far funzionare il loro codice su più piattaforme.
Questa programmazione, e per estensione la tendenza al targeting, è già stata confermata nei casi all'inizio del 2022 e dovrebbe continuare senza sosta.
fonte: https://www.crowdstrike.com/
la differenza è che uno zero day su linux viene solitamente corretto in meno di una settimana (al massimo) e su Windows alcuni non vengono mai risolti.
La differenza è che l'architettura e il sistema di autorizzazioni di Linux rendono molto più difficile ottenere autorizzazioni elevate da un account utente...
E la differenza è che la maggior parte di questo lavoro viene svolto da volontari open source e non da grandi aziende che creano codice proprietario per nasconderci ciò che sta accadendo sotto. L'Opensource è facilmente verificabile.
Ma hey, hai ragione su una cosa, se i tuoi utenti aumentano, le risorse per attaccarli ed esplorare le vulnerabilità aumenteranno se puoi ottenere ritorni economici con esso.
Quindi è una buona notizia che il malware Linux sia in aumento. :)
E in IoT sarà al 100% colpa del produttore, la patch per molti router Xiaomi che utilizzano OpenWRT è stata rilasciata 2 giorni dopo che erano stati infettati da Mirai, Xiaomi è stata aggiornata ogni settimana. Molti altri come TP-Link che utilizzano anche OpenWRT non sono mai stati aggiornati
Ad oggi ci sono lavatrici infettate da Mirai e non sono aggiornate, essendo solo una patch che devono lanciare
Come è successo con i server HP, non hanno mai patchato Java ed era una vulnerabilità coperta 2 anni fa