Los actores de amenazas diversifican su arsenal con herramientas Linux
- Seguridad
Conscientes de que muchas organizaciones eligen Linux para los servidores y sistemas de importancia estratégica, cada vez más actores de ciberamenazas ejecutan ataques dirigidos contra estos dispositivos. Entre ellos, se incluyen grupos de gran notoriedad como Barium, Sofacy, the Lamberts o Equation.
|
Recomendados: La persistencia del ransomware Webinar Inteligencia Artificial, ¿cómo lo aplico en mi empresa? Webinar |
Se cree que Linux es más seguro y menos propenso a las ciberamenazas que el sistema operativo Windows, mucho más popular, de ahí que muchas organizaciones elijan Linux para servidores y sistemas de importancia estratégica. Pues bien, los investigadores de Kaspersky han identificado que cada vez más actores de amenazas están ejecutando ataques dirigidos contra dispositivos basados en Linux, mientras desarrollan más herramientas centradas en Linux.
Si bien los ataques dirigidos a sistemas basados en Linux aún son poco comunes, ciertamente hay malware diseñado para ellos, incluidos webshells, puertas traseras, rootkits e incluso exploits personalizados. Además, la pequeña cantidad de ataques es engañosa, ya que el compromiso exitoso de un servidor que ejecuta Linux a menudo tiene consecuencias importantes. Los atacantes no solo pueden acceder al dispositivo infectado, sino también a los endpoints que ejecutan Windows o macOS, lo que brinda un acceso más amplio para los atacantes que podrían pasar desapercibidos.
Durante los últimos ocho años, se ha observado que más de una docena de actores de APT utilizan malware de Linux o algunos módulos basados en Linux, lo que les permite realizar operaciones de manera más efectiva y con un alcance más amplio. Estos incluyen grupos de amenazas como Barium, Sofacy, Lamberts y Equation, así como campañas más recientes como LightSpy de TwoSail Junk y WellMess.
Por ejemplo, Turla ha cambiado significativamente su conjunto de herramientas a lo largo de los años, incluido el uso de puertas traseras de Linux. Según la telemetría de Kaspersky, una nueva modificación de la puerta trasera de Linux Penguin_x64 ha infectado docenas de servidores en Europa y Estados Unidos en julio de este año.
Otro ejemplo es Lazarus, que continúa diversificando su conjunto de herramientas y desarrollando malware que no es de Windows. Kaspersky informó recientemente sobre el marco multiplataforma llamado MATA y, en junio de 2020, los investigadores analizaron nuevas muestras vinculadas a las campañas Lazarus ‘Operation AppleJeus’ y ‘TangoDaiwbo’, utilizadas en ataques financieros y de espionaje. Las muestras estudiadas incluyeron malware para Linux.
