Los servidores y equipos Linux, en el punto de mira de los ciberatacantes
Una de las principales razones por la que muchas compañías eligen Linux para los servidores y sistemas de importancia estratégica es que este sistema operativo se considera más seguro y menos propenso a las ciberamenazas que el más que conocido Windows.
Sin embargo, la compañía de ciberseguridad Kaspersky ha advertido que cada vez más actores de ciberamenazas ejecutan ataques dirigidos contra dispositivos basados en Linux y desarrollan herramientas más centradas en Linux.
“A lo largo de los últimos ocho años, se han detectado más de una docena de actores APT que utilizan malware Linux o algunos módulos basados en Linux. Entre ellos, se incluyen grupos de gran notoriedad como Barium, Sofacy, the Lamberts o Equation, así como campañas más recientes como LightSpy de TwoSail Junk, y WellMess. La diversificación de su arsenal con herramientas Linux permite a los actores de amenazas realizar operaciones de mayor alcance y eficacia”, ha advertido Kaspersky en un comunicado.
Según señala la compañía, en muchos países hay una tendencia significativa a la utilización de Linux como entorno de escritorio por parte de grandes empresas y administraciones públicas, lo que ha impulsado a los actores de amenazas a desarrollar malware para esta plataforma.
“El mito de que es poco probable que Linux, por su menor popularidad, sea el blanco de programas maliciosos genera más ciberriesgos. Aunque los ataques dirigidos a sistemas Linux siguen siendo poco comunes, no cabe duda de que existe malware diseñado para atacar estos sistemas, entre ellos webshells, puertas traseras, rootkits o incluso exploits diseñados a medida. Asimismo, la poca frecuencia de este tipo de ataques es engañosa porque un ataque exitoso a un servidor Linux a menudo tiene consecuencias significativas. Por ejemplo, puede permitir a los atacantes no sólo acceder al dispositivo infectado, sino también a endpoints que ejecutan Windows o macOS, proporcionando así un acceso más amplio a los atacantes que podría pasar desapercibido”, señala la compañía.
Kaspersky también cita dos ejemplos de esto:
Turla, un prolífico grupo de habla rusa conocido por sus tácticas de exfiltración encubierta que, entre los cambios que ha realizado con el paso de los años en su conjunto de herramientas, incluye el uso de puertas traseras de Linux. “Según nuestros datos de telemetría, una nueva modificación de la puerta trasera dePenguin_x64 de Linux, reportada a principios de 2020, habría infectado docenas de servidores en Europa y Estados Unidos, continuando estos ataques por lo menos hasta el pasado mes de julio”, afirma Kaspersky.
Lazarus, un grupo de APT de habla coreana, que sigue diversificando su conjunto de herramientas y desarrollando malware para sistemas diferentes a Windows. La compañía ha informado recientemente sobre un framework multiplataforma conocido como MATA, y en junio de 2020 sus investigadores analizaron nuevas muestras vinculadas a las campañas “Operation AppleJeus” y “TangoDaiwbo” de Lazarus, utilizadas en ataques financieros y de ciberespionaje. Las muestras estudiadas incluían malware de Linux.
“La tendencia de mejorar las herramientas APT ha sido identificada por nuestros expertos muchas veces en el pasado, y las herramientas centradas en Linux no son una excepción. Con el fin de hacer más seguros sus sistemas, los departamentos de TI y seguridad utilizan Linux más a menudo que antes. Los actores de amenazas responden a esta realidad con la creación de sofisticadas herramientas capaces de penetrar en este tipo de sistemas. Recomendamos a los expertos en ciberseguridad a que presten atención a esta tendencia implementando medidas adicionales para proteger sus equipos y servidores”, ha declarado Yury Namestnikov, jefe del equipo global del equipo de análisis e investigación global de Kaspersky (GReAT) en Rusia.