Una o veľkých klamstvách a mýtoch, ktoré zvyčajne počúvame a čítať veľmi často je to v "Linux neobsahuje žiadne vírusy", "Linux nie je cieľom hackerov" a ďalšie veci súvisiace s "Linux je imúnny", čo je úplne nesprávne...
Čo ak môžeme napoly pravdu a napoly klamať, je to, že Linux nemá rovnaké množstvo malvéru a útokov hackerov. Je to z jednoduchého a jednoduchého dôvodu, keďže na linuxovom trhu nepredstavuje ani 10% všetkých stolových počítačov, takže sa v podstate (takpovediac) nevypláca vynakladať veľké množstvo času a úsilia.
Ale ani zďaleka to neudávalo tón počet malvérových infekcií zameraných na zariadenia so systémom Linux stále rastie a je to tak, že za rok 2021 sa táto suma zvýšila o 35 %, a to preto, že zariadenia internetu vecí sú častejšie hlásené pre útoky DDoS (distribuované odmietnutie služby).
IoT sú často „inteligentné“ zariadenia s nízkou spotrebou energie ktoré bežia na rôznych linuxových distribúciách a sú obmedzené na špecifické funkcie. Ale napriek tomu, keď sa ich zdroje spoja do veľkých skupín, môžu spustiť masívne DDoS útoky aj v dobre chránenej infraštruktúre.
Okrem DDoS sa linuxové IoT zariadenia získavajú na ťažbu kryptomien, uľahčujú spamové kampane, fungujú ako relé, fungujú ako príkazové a riadiace servery alebo dokonca fungujú ako vstupné body do dátových sietí.
Reportáž z Crowdstrike Analýza údajov o útokoch z roku 2021 zhŕňa toto:
- V roku 2021 došlo k 35 % nárastu malvéru zacieleného na systémy Linux v porovnaní s rokom 2020.
- XorDDoS, Mirai a Mozi boli najrozšírenejšími rodinami, ktoré predstavovali 22 % všetkých útokov škodlivého softvéru zameraných na Linux zaznamenaných v roku 2021.
- Najmä spoločnosť Mozi zaznamenala prudký rast v podnikaní, pričom v minulom roku cirkulovalo desaťkrát viac vzoriek v porovnaní s rokom predchádzajúcim.
- XorDDoS tiež zaznamenal pozoruhodný 123% medziročný nárast.
Okrem toho poskytuje stručný všeobecný popis škodlivého softvéru:
- XordDoS: je všestranný linuxový trójsky kôň, ktorý funguje na viacerých systémových architektúrach Linuxu, od ARM (IoT) po x64 (servery). Pre komunikáciu C2 používa šifrovanie XOR, odtiaľ pochádza aj jeho názov. Pri útoku na zariadenia internetu vecí hrubou silou použite XorDDoS zraniteľné zariadenia cez SSH. Na počítačoch so systémom Linux použite port 2375 na získanie prístupu root k hostiteľovi bez hesla. Pozoruhodný prípad distribúcie malvéru sa ukázal v roku 2021 po tom, čo bol pozorovaný čínsky aktér hrozieb známy ako „Winnti“, ktorý ho nasadzoval spolu s ďalšími vedľajšími botnetmi.
- Mozi: je P2P (peer-to-peer) botnet, ktorý sa spolieha na systém Distributed Hash Table Lookup (DHT), aby skryl podozrivú C2 komunikáciu pred riešeniami na monitorovanie sieťovej prevádzky. Tento konkrétny botnet existuje už nejaký čas, neustále pridáva nové zraniteľnosti a rozširuje svoj dosah.
- Pozri: je to notoricky známy botnet, ktorý vďaka svojmu verejne dostupnému zdrojovému kódu splodil mnoho forkov a naďalej sužuje svet internetu vecí. Rôzne deriváty implementujú rôzne komunikačné protokoly C2, ale všetky často zneužívajú slabé poverenia, aby sa dostali do zariadení.
V roku 2021 bolo pokrytých niekoľko pozoruhodných variantov Mirai, ako napríklad „Dark Mirai“, ktorý sa zameriava na domáce smerovače, a „Moobot“, ktorý sa zameriava na kamery.
"Niektoré z najrozšírenejších variantov, ktoré nasledujú výskumníci CrowdStrike, zahŕňajú Sora, IZIH9 a Rekai," vysvetľuje v správe výskumník CrowdStrike Mihai Maganu. „V porovnaní s rokom 2020 sa počet vzoriek identifikovaných pre tieto tri varianty v roku 33 zvýšil o 39 %, 83 % a 2021 %.
Zistenia Crowstrike nie sú prekvapujúce, ako potvrdzujú pokračujúci trend, ktorý sa objavil v predchádzajúcich rokoch. Napríklad správa spoločnosti Intezer, ktorá sa zaoberala štatistikami za rok 2020, zistila, že rodiny škodlivého softvéru pre Linux vzrástli v roku 40 o 2020 % v porovnaní s predchádzajúcim rokom.
V prvých šiestich mesiacoch roku 2020 došlo k výraznému 500 % nárastu malvéru Golang, čo ukazuje, že autori malvéru hľadajú spôsoby, ako zabezpečiť, aby ich kód fungoval na viacerých platformách.
Toto programovanie, a teda aj trend cielenia, sa už potvrdilo v prípadoch začiatkom roku 2022 a očakáva sa, že bude pokračovať v nezmenšenej miere.
Fuente: https://www.crowdstrike.com/
rozdiel je v tom, že nultý deň na linuxe je zvyčajne opravený za menej ako týždeň (najviac) a na Windowse sa niektoré nevyriešia nikdy.
Rozdiel je v tom, že architektúra Linuxu a systém povolení značne sťažujú získanie zvýšených povolení z používateľského účtu...
Rozdiel je v tom, že väčšinu tejto práce vykonávajú dobrovoľníci s otvoreným zdrojom a nie veľké korporácie, ktoré vytvárajú vlastný kód, aby pred nami skryli to, čo sa deje pod ním. Opensource je ľahko auditovateľný.
Ale hej, v jednej veci máte pravdu, ak sa vaši používatelia zvýšia, zdroje na ich útoky a preskúmanie zraniteľností sa zvýšia, ak s tým môžete získať ekonomické výnosy.
Je teda dobrou správou, že linuxový malvér je na vzostupe. :)
A v IoT to bude na 100% chyba výrobcu, záplata pre mnohé Xiaomi routery, ktoré využívajú OpenWRT vyšla 2 dni po ich infikovaní Mirai, Xiaomi sa aktualizovalo každý týždeň. Mnoho ďalších, ako napríklad TP-Link, ktoré tiež používajú OpenWRT, nebolo nikdy aktualizované
K dnešnému dňu existujú práčky infikované Mirai a nie sú aktualizované, pretože sú len záplatou, ktorú musia spustiť
Ako sa to stalo so servermi HP, nikdy neopravili Javu a pred 2 rokmi to bola zakrytá zraniteľnosť