Linux sob ataque a mais de uma década! Novas pesquisas descobriram que a plataforma Linux está sendo atacada por grupos de ameaças chineses há uma década.
O relatório “Decade of the RATs Research Report “, publicada pela BlackBerry , revela como cinco grupos chineses de APT visavam servidores Linux, sistemas Windows e dispositivos móveis executando o Android em um ataque prolongado entre plataformas.
Segundo o site Infosecurity, os pesquisadores disseram estar confiantes de que os grupos da APT “provavelmente são constituídos por empreiteiros civis que trabalham no interesse do governo chinês que compartilham prontamente ferramentas, técnicas, infra-estrutura e informações de segmentação entre si e com seus colegas do governo“.
Atualmente, o Linux é executado em todos os 500 supercomputadores mais rápidos do mundo, e 90% de toda a infraestrutura de nuvem e 96,3% dos 1 milhão de servidores do mundo são executados no Linux .
“Por ser supostamente mais segura, historicamente, a plataforma Linux foi negligenciada do ponto de vista da segurança”
“Uma das principais razões pelas quais não existem muitas ferramentas de segurança para Linux é porque há relativamente poucas máquinas Linux no mundo (aproximadamente 2%), portanto, é uma maneira difícil de as empresas ganharem dinheiro“, Eric Cornelius, arquiteto-chefe de produtos no BlackBerry, disse à Infosecurity Magazine.
Cornelius acrescentou que a suposição predominante de que o Linux é mais seguro porque é de código aberto “simplesmente não é o caso“. “Os produtos e serviços de segurança não são tão amplamente implementados nas plataformas Linux quanto nas plataformas Windows e Mac mais populares“.
Questionado sobre o que as plataformas atualmente negligenciadas poderiam se tornar “o Linux do futuro” de uma perspectiva de segurança cibernética, Cornelius disse: “A mais óbvia é a mobilidade. Como o relatório ‘Mobile Malware’ que lançamos no outono passado, os fornecedores de segurança começaram recentemente a implantar produtos para resolver um problema que governos e grupos apoiados pelo governo estão enfrentando há uma década ou mais, com relativa impunidade”.
“As atitudes em relação ao adware são a fonte de outra área de preocupação, à medida que mais e mais grupos do APT disfarçam seu malware como adware, pensando que ele pode passar despercebido e receber baixa prioridade se for pego. Também vimos um aumento no abuso de provedores legítimos de serviços em nuvem cuja infraestrutura está sendo cooptada por atacantes para realizar suas operações. ”
“Ao expor uma ameaça que surgiu do passado, a nova pesquisa é uma má notícia para os profissionais de segurança, que já se sobrecarregam ao lidar com ameaças atuais e previstas.”
Questionado sobre como os profissionais devem dividir sua atenção no combate a ataques, Cornelius disse: “É um processo, não uma ciência exata. Mas com muita freqüência, o setor de segurança e os defensores da rede se fixam nos próximos e nos mais novos e esquecem de olhar para trás para ver como as ameaças passadas evoluíram. Como diz o velho ditado, ‘aqueles que não conseguem se lembrar do passado estão condenados a repeti-lo’. ”
Relatório
O relatório vem logo após o Departamento de Justiça dos EUA anunciar várias acusações de alto nível de mais de 1.000 investigações abertas do FBI sobre espionagem econômica como parte da Iniciativa China do DOJ .
O relatório do BlackBerry, intitulado Década dos RATs: ataques de espionagem de plataforma cruzada com APT direcionados para Linux, Windows e Android , examina como os APTs aproveitaram a natureza “sempre ativada, sempre disponível” dos servidores Linux para estabelecer um “ponto de partida” para as operações. Dado o perfil dos cinco grupos de APT envolvidos e a duração dos ataques, é provável que o número de organizações impactadas seja significativo.
O aspecto de plataforma cruzada dos ataques também é particularmente preocupante, tendo em vista os desafios de segurança colocados pelo aumento repentino de trabalhadores remotos. As ferramentas identificadas nessas campanhas de ataque em andamento já estão em vigor para tirar proveito dos mandatos de trabalho em casa, e o número reduzido de pessoal no local para manter a segurança desses sistemas críticos agrava os riscos. Enquanto a maioria da força de trabalho deixou o escritório como parte dos esforços de contenção em resposta ao surto do Covid-19, a propriedade intelectual permanece nos data centers corporativos, a maioria dos quais rodando em Linux.
A maioria das grandes organizações depende do Linux para executar sites, tráfego de rede proxy e armazenar dados valiosos. Embora o Linux possa não ter a visibilidade que outros sistemas operacionais de front-office têm, é sem dúvida o mais crítico no que diz respeito à segurança de redes críticas. O Linux executa quase todos os principais 1 milhão de sites, 75% de todos os servidores da web, 98% dos supercomputadores do mundo e 75% dos principais provedores de serviços em nuvem (Netcraft, 2019, Linux Foundation, 2020) .
“O Linux normalmente não é voltado para o usuário, e a maioria das empresas de segurança concentra sua atenção de engenharia e marketing em produtos projetados para o escritório central, em vez do rack de servidor, de modo que a cobertura do Linux é escassa”, disse Eric Cornelius, arquiteto-chefe de produto da BlackBerry.
“Esses grupos da APT se concentraram nessa lacuna de segurança e a aproveitaram por sua vantagem estratégica de roubar propriedade intelectual de setores-alvo por anos sem que ninguém percebesse.“
Outras descobertas importantes no relatório incluem:
- Os grupos da APT examinados neste relatório provavelmente são compostos por contratados civis que trabalham no interesse do governo chinês que compartilham prontamente ferramentas, técnicas, infraestrutura e informações de direcionamento entre si e com seus colegas do governo.
- Os grupos da APT tradicionalmente buscam objetivos diferentes e se concentram em uma ampla gama de metas; no entanto, foi observado que existe um grau significativo de coordenação entre esses grupos, principalmente no que diz respeito ao direcionamento de plataformas Linux.
- A pesquisa identifica dois novos exemplos de malware para Android, continuando uma tendência observada em um relatório anterior de pesquisadores do BlackBerry, intitulado Mobile Malware e APT Espionage: Prolific, Pervasive e Cross-Platform , que examinou como os grupos APT têm aproveitado o malware móvel em combinação. com malware de desktop tradicional em campanhas de vigilância e espionagem em várias plataformas.
- Uma das amostras de malware do Android se parece muito com o código em uma ferramenta de teste de penetração disponível comercialmente; no entanto, o malware foi criado quase dois anos antes de a ferramenta comercial ser disponibilizada para compra.
- O relatório examina várias novas variantes de malware conhecido que os defensores da rede estão obtendo por meio dos certificados de assinatura de código de uso para adware, uma tática que os atacantes esperam aumentar as taxas de infecção, já que as bandeiras vermelhas do AV são descartadas como apenas mais um ponto em um constante fluxo de alertas de adware.
- A pesquisa também destaca uma mudança dos invasores para o uso de provedores de serviços em nuvem para comunicações de comando e controle (C2) e de extração de dados que parecem ser tráfego de rede confiável.
“Esta pesquisa mostra uma imagem de um esforço de espionagem visando a espinha dorsal da infraestrutura de rede de grandes organizações, que é mais sistêmica do que se acreditava anteriormente“, disse John McClurg, diretor de segurança da informação da BlackBerry. “Esta pesquisa abre outro capítulo na história do roubo de IP na China, fornecendo novas lições a aprender“.