o a marilor minciuni și mituri pe care le auzim de obicei și citește foarte des este că în „Linux nu există viruși”, „Linux nu este o țintă pentru hackeri” și alte lucruri legate de „Linux este imun”, ceea ce este total fals...
Dacă putem pune jumătate adevăr și jumătate minciună, este că Linux nu are aceeași cantitate de malware și atacuri ale hackerilor. Acest lucru se datorează unui motiv simplu și simplu, deoarece pe piața Linux nu reprezintă nici măcar 10% din toate computerele desktop, deci practic nu este profitabil (ca să spunem așa) să cheltuiți o cantitate mare de timp și efort.
Dar departe de asta, asta nu a dat tonul pentru numărul de infecții malware care vizează dispozitivele Linux continuă să crească și este că pentru ceea ce a fost 2021 suma a crescut cu 35% și asta pentru că dispozitivele IoT sunt raportate mai frecvent pentru atacuri DDoS (distributed denial of service).
IoT-urile sunt adesea dispozitive „inteligente” cu putere redusă care rulează diverse distribuții Linux și sunt limitate la funcționalități specifice. Dar cu toate acestea, atunci când resursele lor sunt combinate în grupuri mari, ei pot lansa atacuri DDoS masive chiar și în infrastructura bine protejată.
Pe lângă DDoS, dispozitivele Linux IoT sunt recrutate pentru a extrage criptomonede, pentru a facilita campanii de spam, a acționa ca relee, acționează ca servere de comandă și control sau chiar acționează ca puncte de intrare în rețelele de date.
Un raport de la Crowdstrike analiza datelor de atac din 2021 rezumă următoarele:
- În 2021, a existat o creștere cu 35% a programelor malware care vizează sistemele Linux, comparativ cu 2020.
- XorDDoS, Mirai și Mozi au fost familiile cele mai răspândite, reprezentând 22% din toate atacurile malware care vizează Linux observate în 2021.
- Mozi, în special, a înregistrat o creștere explozivă a afacerilor, cu de zece ori mai multe mostre circulant în ultimul an comparativ cu anul precedent.
- XorDDoS a înregistrat, de asemenea, o creștere remarcabilă de 123% de la an la an.
În plus, oferă o scurtă descriere generală a malware-ului:
- XordDoS: este un troian Linux versatil care funcționează pe mai multe arhitecturi de sistem Linux, de la ARM (IoT) la x64 (servere). Utilizează criptarea XOR pentru comunicațiile C2, de unde și numele. Când atacați dispozitive IoT, dispozitivele vulnerabile XorDDoS cu forță brută prin SSH. Pe mașinile Linux, utilizați portul 2375 pentru a obține acces root fără parolă la gazdă. Un caz notabil de distribuție a malware-ului a fost arătat în 2021, după ce un actor chinez de amenințare cunoscut sub numele de „Winnti” a fost observat care îl implementa împreună cu alte rețele botnet derivate.
- Cinema: este o rețea botnet P2P (peer-to-peer) care se bazează pe sistemul Distributed Hash Table Lookup (DHT) pentru a ascunde comunicațiile C2 suspecte de soluțiile de monitorizare a traficului în rețea. Această rețea botnet specifică există de ceva timp, adăugând continuu noi vulnerabilități și extinzându-și acoperirea.
- Uite: este o rețea botnet notorie care a generat multe bifurcări datorită codului său sursă disponibil public și continuă să afecteze lumea IoT. Diferitele derivate implementează diferite protocoale de comunicare C2, dar toți abuzează adesea de acreditările slabe pentru a se forța să intre pe dispozitive.
Mai multe variante notabile de Mirai au fost acoperite în 2021, cum ar fi „Dark Mirai”, care se concentrează pe routerele de acasă și „Moobot”, care vizează camerele foto.
„Unele dintre cele mai răspândite variante urmate de cercetătorii CrowdStrike implică Sora, IZIH9 și Rekai”, explică cercetătorul CrowdStrike Mihai Maganu în raport. „Comparativ cu 2020, numărul de mostre identificate pentru aceste trei variante a crescut cu 33%, 39% și, respectiv, 83% în 2021”.
Descoperirile lui Crowstrike nu sunt surprinzătoare, întrucât confirmă o tendință continuă care a apărut în anii precedenți. De exemplu, un raport Intezer care analizează statisticile din 2020 a constatat că familiile de malware Linux au crescut cu 40% în 2020, comparativ cu anul precedent.
În primele șase luni ale anului 2020, a existat o creștere semnificativă cu 500% a programelor malware Golang, arătând că autorii de malware caută modalități de a-și face codul să funcționeze pe mai multe platforme.
Această programare și, prin extensie, tendința de direcționare, au fost deja confirmate în cazuri la începutul anului 2022 și se așteaptă să continue fără încetare.
Fuente: https://www.crowdstrike.com/
diferența este că o zi zero pe linux este de obicei patch-ată în mai puțin de o săptămână (cel mult), iar pe Windows unele nu sunt niciodată rezolvate.
Diferența este că arhitectura și sistemul de permisiuni Linux fac mult mai dificilă obținerea de permisiuni ridicate de la un cont de utilizator...
Și diferența este că cea mai mare parte a acestei lucrări este făcută de voluntari open source și nu de mari corporații care creează cod proprietar pentru a ne ascunde ceea ce se întâmplă dedesubt. Opensource-ul este ușor de auditat.
Dar, hei, ai dreptate în privința unui lucru, dacă utilizatorii tăi cresc, resursele pentru a-i ataca și explora vulnerabilități vor crește dacă poți obține profituri economice cu ea.
Deci, este o veste bună că malware-ul Linux este în creștere. :)
Și în IoT va fi vina 100% a producătorului, patch-ul pentru multe routere Xiaomi care folosesc OpenWRT a fost lansat la 2 zile după ce au fost infectați de Mirai, Xiaomi a fost actualizat în fiecare săptămână. Multe altele precum TP-Link care folosesc și OpenWRT nu au fost niciodată actualizate
Pana in ziua de azi exista masini de spalat rufe infectate de Mirai si nu sunt actualizate, fiind doar un patch pe care trebuie sa-l lanseze
Așa cum sa întâmplat cu serverele HP, nu au corectat niciodată Java și a fost o vulnerabilitate acoperită acum 2 ani