một những lời nói dối lớn và huyền thoại mà chúng ta thường nghe và đọc rất thường xuyên là trong “Linux không có vi rút”, "Linux không phải là mục tiêu của tin tặc" và những thứ khác liên quan đến "Linux được miễn nhiễm", điều này hoàn toàn sai ...
Điều gì sẽ xảy ra nếu chúng ta có thể nói nửa thật và nửa dối, đó là Linux không có lượng phần mềm độc hại và các cuộc tấn công bằng tin tặc như nhau. Điều này là do một lý do đơn giản và đơn giản, vì trong thị trường linux, nó không chiếm 10% tổng số máy tính để bàn, vì vậy về cơ bản là không có lãi (có thể nói là) khi bỏ ra một lượng lớn thời gian và công sức.
Nhưng khác xa với nó, điều đó đã không đặt ra âm thanh cho số vụ lây nhiễm phần mềm độc hại nhắm mục tiêu vào các thiết bị Linux tiếp tục tăng và đó là vào năm 2021, số lượng đã tăng 35% và điều này là do các thiết bị IoT được báo cáo thường xuyên hơn về các cuộc tấn công DDoS (từ chối dịch vụ phân tán).
IoT thường là các thiết bị "thông minh" với công suất thấp chạy các bản phân phối Linux khác nhau và bị giới hạn ở chức năng cụ thể. Nhưng tuy nhiên, khi tài nguyên của họ được kết hợp thành các nhóm lớn, họ có thể khởi động các cuộc tấn công DDoS lớn ngay cả trong cơ sở hạ tầng được bảo vệ tốt.
Ngoài DDoS, các thiết bị Linux IoT được tuyển dụng để khai thác tiền điện tử, tạo điều kiện cho các chiến dịch spam, hoạt động như rơ le, hoạt động như máy chủ chỉ huy và kiểm soát hoặc thậm chí hoạt động như điểm vào mạng dữ liệu.
Một báo cáo từ Crowdstrike phân tích dữ liệu tấn công từ năm 2021 tóm tắt như sau:
- Vào năm 2021, số phần mềm độc hại nhắm mục tiêu vào hệ thống Linux đã tăng 35% so với năm 2020.
- XorDDoS, Mirai và Mozi là những họ phổ biến nhất, chiếm 22% tổng số cuộc tấn công phần mềm độc hại nhắm vào Linux được thấy vào năm 2021.
- Đặc biệt, Mozi đã chứng kiến sự phát triển bùng nổ trong kinh doanh, với số lượng mẫu lưu hành trong năm ngoái nhiều gấp mười lần so với năm trước.
- XorDDoS cũng có mức tăng đáng kể 123% so với cùng kỳ năm ngoái.
Ngoài ra, nó cung cấp một mô tả chung ngắn gọn về phần mềm độc hại:
- XordDoS: là một Linux Trojan đa năng hoạt động trên nhiều kiến trúc hệ thống Linux, từ ARM (IoT) đến x64 (máy chủ). Nó sử dụng mã hóa XOR cho giao tiếp C2, do đó có tên như vậy. Khi tấn công các thiết bị IoT, các thiết bị dễ bị tấn công XorDDoS bạo lực thông qua SSH. Trên các máy Linux, sử dụng cổng 2375 để có được quyền truy cập root không cần mật khẩu vào máy chủ. Một trường hợp đáng chú ý về việc phát tán phần mềm độc hại đã được chỉ ra vào năm 2021 sau khi một tác nhân đe dọa Trung Quốc được gọi là “Winnti” được quan sát thấy triển khai nó cùng với các botnet khác.
- Mặc Tử: là một mạng botnet P2P (ngang hàng) dựa vào hệ thống Tra cứu Bảng Hash Phân tán (DHT) để ẩn các liên lạc C2 đáng ngờ khỏi các giải pháp giám sát lưu lượng mạng. Mạng botnet đặc biệt này đã tồn tại được một thời gian, liên tục bổ sung các lỗ hổng mới và mở rộng phạm vi tiếp cận của nó.
- Nhìn: nó là một mạng botnet khét tiếng đã sinh ra nhiều nhánh do mã nguồn có sẵn công khai của nó và tiếp tục gây hại cho thế giới IoT. Các dẫn xuất khác nhau triển khai các giao thức truyền thông C2 khác nhau, nhưng tất cả thường lạm dụng thông tin xác thực yếu để buộc mình vào các thiết bị.
Một số biến thể Mirai đáng chú ý đã được giới thiệu vào năm 2021, chẳng hạn như "Dark Mirai," tập trung vào bộ định tuyến gia đình và "Moobot," nhắm mục tiêu máy ảnh.
“Một số biến thể phổ biến nhất được các nhà nghiên cứu CrowdStrike theo sau liên quan đến Sora, IZIH9 và Rekai,” nhà nghiên cứu CrowdStrike Mihai Maganu giải thích trong báo cáo. "So với năm 2020, số lượng mẫu được xác định cho ba biến thể này đã tăng lần lượt là 33%, 39% và 83% vào năm 2021."
Phát hiện của Crowstrike không có gì đáng ngạc nhiên, từ xác nhận một xu hướng tiếp tục đã xuất hiện trong những năm trước. Ví dụ: một báo cáo Intezer xem xét số liệu thống kê năm 2020 cho thấy rằng các họ phần mềm độc hại Linux đã tăng 40% vào năm 2020 so với năm trước đó.
Trong sáu tháng đầu năm 2020, phần mềm độc hại Golang đã tăng lên 500%, cho thấy những người viết phần mềm độc hại đang tìm cách làm cho mã của họ hoạt động trên nhiều nền tảng.
Chương trình này và bằng cách mở rộng xu hướng nhắm mục tiêu, đã được xác nhận trong các trường hợp vào đầu năm 2022 và dự kiến sẽ tiếp tục không suy giảm.
Fuente: https://www.crowdstrike.com/
sự khác biệt là một số không ngày trên linux thường được vá trong vòng chưa đầy một tuần (nhiều nhất là) và trên Windows một số không bao giờ được giải quyết.
Sự khác biệt là kiến trúc và hệ thống quyền của Linux khiến việc nhận các quyền nâng cao từ tài khoản người dùng trở nên khó khăn hơn nhiều ...
Và sự khác biệt là hầu hết công việc này được thực hiện bởi các tình nguyện viên nguồn mở chứ không phải bởi các tập đoàn lớn tạo ra mã độc quyền để che giấu chúng ta những gì đang xảy ra bên dưới. Opensource có thể dễ dàng kiểm tra.
Nhưng này, bạn nói đúng một điều, nếu người dùng của bạn tăng lên, các nguồn lực để tấn công họ và khám phá các lỗ hổng sẽ tăng lên nếu bạn có thể thu được lợi nhuận kinh tế từ nó.
Vì vậy, tin tốt là phần mềm độc hại trên Linux đang gia tăng. :)
Và trong IoT thì 100% là lỗi của nhà sản xuất, bản vá cho nhiều bộ định tuyến Xiaomi sử dụng OpenWRT được tung ra 2 ngày sau khi chúng bị nhiễm virus Mirai, được Xiaomi cập nhật hàng tuần. Nhiều người khác như TP-Link cũng sử dụng OpenWRT đã không bao giờ được cập nhật
Cho đến ngày nay, có những máy giặt bị nhiễm Mirai và chúng không được cập nhật, chỉ là một bản vá lỗi mà chúng phải khởi chạy
Như đã xảy ra với các máy chủ của HP, họ chưa bao giờ vá lỗi Java và đó là một lỗ hổng bảo mật cách đây 2 năm