Цветок коровы и новые угрозы для российских ОС

На заре борьбы операционных систем Linux и Windows сторонники решения с открытым кодом часто говорили о безопасности Linux, которая в то время была практически не подвержена вирусам. Оппоненты возражали, что вирусов нет, поскольку Linux мало распространена, а как только OC наберет достаточное количество пользователей, хакеры неизбежно займутся и ею. Жизнь доказала истинность этого довода — вирусы и прочее вредоносное ПО (ВПО) для операционных систем на базе Linuх появились и их становится все больше.

Так, согласно отчету Positive Technologies «Актуальные киберугрозы: III квартал 2022 года», в минувшем квартале доля затрагивающих Linux атак с использованием ВПО по сравнению со вторым кварталом заметно выросла — с 12 до 30% (рис. 1). 

 

По данным исследования X-Force Threat Intelligence Index 2022, выпущенного IBM Security, количество новых шифровальщиков для Linux-систем увеличилось в 2,5 раза относительно прошлого года. Причем преступники часто адаптируют к Linux ВПО, уже используемое для Windows. Например, версией шифровальщика для Linux обзавелась группировка Hive, атаковавшая в прошлом квартале систему здравоохранения Коста-Рики. В новой версии шифровальщика улучшены алгоритм шифрования и маскировка от обнаружения и добавлена поддержка параметров командной строки для удаленного управления. 

 

Шифровальщики остаются наиболее часто (54%) используемым вредоносным программным обеспечением при атаках на организации (рис. 2). На втором месте по популярности у киберпреступников ВПО для удаленного управления — 28% атак. Причем в отличие от шифровальщиков, которые практически не используются при атаках на частные лица, ВПО для удаленного управления применяется для атак на граждан так же часто (26%), как для организаций (28%).

ВПО для Linux становится все более сложным и опасным. Например, описанная в отчете Lightning Framework: New Undetected “Swiss Army Knife” Linux Malware исследователями Intezer вредоносная программа Lightning дает возможность устанавливать с управляющего сервера по защищенному каналу руткиты — наборы исполняемых файлов, обеспечивающих маскировку объектов, управление событиями, происходящими в системе, и сбор данных о ее параметрах. 

Распространение языка программирования Rust, позволяющего разрабатывать кроссплатформенное ПО, привело к появлению обнаруженного исследователями Cisco Talos нового кроссплатформенного фреймворка Manjusaka (в переводе с китайского — цветок коровы), который уже использовался в атаках на системы Windows и Linux. Фреймворк, по оценкам исследователей, более эффективен, чем давно используемый хакерами Cobalt Strike. Он не только размещает на компьютере жертвы ВПО для удаленного управления, но и имеет более широкие возможности для маскировки и обхода средств защиты.

Эксперты связывают распространение ВПО для Linux с повсеместным внедрением в бизнес-процессы систем виртуализации и облачных технологий. Операционная система уверенно победила на серверном рынке и продолжает теснить Windows на рынке ОС для настольных компьютеров. Особенно актуален этот тренд для России, отказывающейся от продукции Microsoft в рамках политики импортозамещения. Все находящиеся в реестре российского программного обеспечения ОС базируются на различных вариациях Linux.

ВПО для Linux стало появляться все чаще, на что стоит обратить внимание пользователям ОС, в том числе российских операционных систем. Разработчикам нужно с осторожностью относиться к загружаемым библиотекам, фреймворкам, надстройкам, проверять удаленные репозитории, к которым они обращаются. Linux хорошо освоена киберпреступниками — не следует недооценивать возросшие угрозы.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!