มัลแวร์ที่กำหนดเป้าหมายไปยังอุปกรณ์ Linux เพิ่มขึ้น 35% ในปี 2021

Una ของการโกหกและตำนานใหญ่ที่เรามักจะได้ยิน และอ่านบ่อยมากคือใน “ Linux ไม่มีไวรัส” "ลินุกซ์ไม่ใช่เป้าหมายของแฮกเกอร์" และเรื่องอื่นๆ ที่เกี่ยวข้องกับ "ลินุกซ์ไม่มีภูมิคุ้มกัน" ซึ่งก็ผิดโดยสิ้นเชิง...

จะเกิดอะไรขึ้นหากเราสามารถพูดความจริงเพียงครึ่งเดียวและโกหกได้ครึ่งหนึ่ง ก็คือว่า Linux ไม่มีมัลแวร์และการโจมตีจากแฮกเกอร์ในปริมาณเท่ากัน นี่เป็นเพราะเหตุผลที่เรียบง่ายและเรียบง่าย เนื่องจากในตลาดลินุกซ์ คอมพิวเตอร์เดสก์ท็อปนั้นไม่ได้เป็นตัวแทนของแม้แต่ 10% ของคอมพิวเตอร์เดสก์ท็อปทั้งหมด ดังนั้นโดยพื้นฐานแล้วจะไม่ทำกำไร (อย่างที่พูด) ที่จะใช้เวลาและความพยายามเป็นจำนวนมาก

แต่ไกลจากที่ยังไม่ได้กำหนดเสียงสำหรับ จำนวนการติดมัลแวร์ที่กำหนดเป้าหมายไปยังอุปกรณ์ Linux ยังคงเพิ่มขึ้น และในปี 2021 จำนวนเพิ่มขึ้น 35% เนื่องจากอุปกรณ์ IoT ได้รับการรายงานบ่อยขึ้นสำหรับการโจมตี DDoS (การปฏิเสธบริการแบบกระจาย)

IoT มักจะเป็นอุปกรณ์ที่ "ฉลาด" ที่ใช้พลังงานต่ำ ที่รันลีนุกซ์รุ่นต่างๆ และถูกจำกัดให้ใช้งานได้เฉพาะ. แต่อย่างไรก็ตาม เมื่อทรัพยากรของพวกเขารวมกันเป็นกลุ่มใหญ่ พวกเขาสามารถเปิดการโจมตี DDoS ขนาดใหญ่ได้ แม้ในโครงสร้างพื้นฐานที่มีการป้องกันอย่างดี

นอกจาก DDoS แล้ว อุปกรณ์ Linux IoT ยังได้รับคัดเลือกเพื่อขุดสกุลเงินดิจิทัล อำนวยความสะดวกในแคมเปญสแปม ทำหน้าที่เป็นรีเลย์ ทำหน้าที่เป็นคำสั่งและควบคุมเซิร์ฟเวอร์ หรือแม้แต่ทำหน้าที่เป็นจุดเริ่มต้นไปยังเครือข่ายข้อมูล

รายงานจาก Crowdstrike การวิเคราะห์ข้อมูลการโจมตีจากปี 2021 สรุปได้ดังนี้:

• ในปี 2021 มีมัลแวร์เพิ่มขึ้น 35% ที่กำหนดเป้าหมายไปยังระบบ Linux เมื่อเทียบกับปี 2020
• XorDDoS, Mirai และ Mozi เป็นตระกูลที่แพร่หลายมากที่สุด คิดเป็น 22% ของการโจมตีมัลแวร์ทั้งหมดที่กำหนดเป้าหมายไปที่ Linux ในปี 2021
• โดยเฉพาะอย่างยิ่ง Mozi มีการเติบโตอย่างรวดเร็วในธุรกิจ โดยมีตัวอย่างที่หมุนเวียนอยู่ในปีที่แล้วถึงสิบเท่าเมื่อเทียบกับปีก่อนหน้า
• XorDDoS ยังเห็นการเพิ่มขึ้นที่โดดเด่น 123% เมื่อเทียบเป็นรายปี

นอกจากนี้ยังมีคำอธิบายทั่วไปโดยย่อของมัลแวร์:

• XordDoS: เป็นลินุกซ์โทรจันอเนกประสงค์ที่ทำงานบนสถาปัตยกรรมระบบลีนุกซ์หลายแบบ ตั้งแต่ ARM (IoT) ถึง x64 (เซิร์ฟเวอร์) ใช้การเข้ารหัส XOR สำหรับการสื่อสาร C2 จึงเป็นที่มาของชื่อ เมื่อโจมตีอุปกรณ์ IoT บังคับอุปกรณ์ที่มีช่องโหว่ XorDDoS ผ่าน SSH บนเครื่อง Linux ให้ใช้พอร์ต 2375 เพื่อเข้าถึงรูทแบบไม่ต้องใช้รหัสผ่านไปยังโฮสต์ กรณีที่โดดเด่นของการแพร่กระจายของมัลแวร์ปรากฏขึ้นในปี 2021 หลังจากพบผู้คุกคามชาวจีนที่รู้จักกันในชื่อ “Winnti” ปรับใช้มันร่วมกับบ็อตเน็ตแบบแยกส่วนอื่นๆ
• โมซี่: เป็นบ็อตเน็ต P2P (peer-to-peer) ที่อาศัยระบบ Distributed Hash Table Lookup (DHT) เพื่อซ่อนการสื่อสาร C2 ที่น่าสงสัยจากโซลูชันการตรวจสอบการรับส่งข้อมูลเครือข่าย บ็อตเน็ตเฉพาะนี้มีมาระยะหนึ่งแล้ว โดยเพิ่มช่องโหว่ใหม่ๆ อย่างต่อเนื่องและขยายขอบเขตการเข้าถึง
• ดู: เป็นบ็อตเน็ตที่โด่งดังซึ่งทำให้เกิดส้อมจำนวนมากเนื่องจากซอร์สโค้ดที่เปิดเผยต่อสาธารณะและยังคงระบาดไปทั่วโลกของ IoT อนุพันธ์ต่างๆ ใช้โปรโตคอลการสื่อสาร C2 ที่แตกต่างกัน แต่มักใช้ข้อมูลประจำตัวที่อ่อนแอเพื่อบังคับตัวเองให้เป็นอุปกรณ์

Mirai ที่โดดเด่นหลายรุ่นได้รับการกล่าวถึงในปี 2021 เช่น "Dark Mirai" ซึ่งมุ่งเน้นไปที่เราเตอร์ที่บ้านและ "Moobot" ซึ่งกำหนดเป้าหมายไปที่กล้อง

Mihai Maganu นักวิจัย CrowdStrike อธิบายในรายงานว่า "ตัวแปรที่แพร่หลายที่สุดบางตัวตามด้วยนักวิจัย CrowdStrike เกี่ยวข้องกับ Sora, IZIH9 และ Rekai "เมื่อเทียบกับปี 2020 จำนวนตัวอย่างที่ระบุสำหรับตัวแปรทั้งสามนี้เพิ่มขึ้น 33%, 39% และ 83% ตามลำดับในปี 2021"

การค้นพบของ Crowstrike นั้นไม่น่าแปลกใจ ในขณะที่ ยืนยันแนวโน้มต่อเนื่องที่เกิดขึ้นในปีที่ผ่านมา. ตัวอย่างเช่น รายงานของ Intezer เมื่อดูสถิติปี 2020 พบว่ากลุ่มมัลแวร์ Linux เติบโตขึ้น 40% ในปี 2020 เมื่อเทียบกับปีที่แล้ว

ในช่วงหกเดือนแรกของปี 2020 มีมัลแวร์ Golang เพิ่มขึ้น 500% ซึ่งแสดงให้เห็นว่าผู้เขียนมัลแวร์กำลังมองหาวิธีที่จะทำให้โค้ดของตนทำงานบนหลายแพลตฟอร์ม

การเขียนโปรแกรมนี้ และโดยการขยายแนวโน้มการกำหนดเป้าหมาย ได้รับการยืนยันแล้วในช่วงต้นปี 2022 และคาดว่าจะดำเนินต่อไปอย่างไม่เปลี่ยนแปลง

Fuente: https://www.crowdstrike.com/