Linux jako najbardziej rozpowszechniony system operacyjny w chmurze szybko staje się przepustką do ataku na środowiska wielochmurowe – przestrzegają eksperci VMware w raporcie na temat cyberzagrożeń Exposing Malware in Linux-Based Multi-Cloud Environments. Z kolei analitycy z FortiGuard Labs wskazują 5 rodzajów ataków, na które trzeba będzie szczególnie uważać w 2022 roku.

Dotychczas stosowane środki przeciwdziałania skupiają się głównie na zagrożeniach opartych na systemie Windows. Obecnie wiele wdrożeń chmur publicznych i prywatnych pozostaje podatnych na ataki, których celem są obciążenia oparte na Linuksie.

Kluczowe wnioski z raportu VMware:

• ransomware ewoluuje i obiera za cel narzędzia (np. hosty) używane do uruchamiania obciążeń w środowiskach zwirtualizowanych;
• 89 proc. ataków cryptojackingowych wykorzystuje biblioteki związane z XMRig;
• ponad połowa użytkowników Cobalt Strike może być cyberprzestępcami lub co najmniej używać tego narzędzia nielegalnie.

– Zamiast infekować urządzenia (komputery, laptopy, telefony), czyli punkty końcowe, by kolejno przenosić się na bardziej dochodowy cel, cyberprzestępcy odkryli, że ofensywa na pojedynczy serwer może przynieść ogromne zyski i zapewnić dostęp do danych, w szczególności wrażliwych, i do mocy obliczeniowej. Atakujący postrzegają zarówno chmury publiczne, jak i prywatne jako cenne ze względu na dostęp do krytycznych usług infrastrukturalnych i poufnych danych ­  powiedział Andrzej Szymczak, Lead Solution Engineer w VMware.

Ilość i złożoność szkodliwego oprogramowania skierowanego na systemy operacyjne oparte na Linuksie stale wzrasta, dlatego organizacje muszą przykładać większą wagę do ich wykrywania. Jednostka VMware Threat Analysis Unit (TAU) przeanalizowała linuksowe zagrożenia w środowiskach wielochmurowych. Najczęściej stosowane przez atakujących narzędzia to: ransomware, cryptominery i narzędzia do zdalnego dostępu.

Ransomware oparte na Linuksie wycelowane w chmurę

Udany atak ransomware na środowisko chmurowe może mieć poważne konsekwencje. Próby naruszenia są ukierunkowane i często łączone z eksfiltracją danych, wprowadzając schemat podwójnego wymuszenia — kradzież danych lub ich zaszyfrowanie w zaatakowanym przedsiębiorstwie.

Takie ataki są również powszechne w Polsce, przykładem firma CD Projekt. Działanie dwutorowe – szyfrowanie danych oraz ich kradzież – zwiększa szanse na szybki i duży zysk. Nowe zjawisko pokazuje, że ransomware oparte na Linuksie ewoluuje i obiera za cel narzędzia używane do uruchamiania różnego rodzaju oprogramowania również w środowiskach zwirtualizowanych.

Hakerzy szukają teraz cenniejszych zasobów w środowiskach chmurowych. Przykłady obejmują rodzinę ransomware Defray777, która zaszyfrowała obrazy na serwerach ESXi, oraz grupę ransomware DarkSide, która sparaliżowała sieci Colonial Pipeline, powodując ogólnokrajowy deficyt benzyny w USA.

Cryptojacking wykorzystuje XMRig do wydobywania Monero

Cyberprzestępcy szukający łatwego zarobku często obierają na cel kryptowaluty. Cyberprzestępcy albo umieszczają w złośliwym oprogramowaniu mechanizm kradzieży portfela, albo wykorzystują do wydobycia przechwyconą moc procesora w ramach ataku zwanego cryptojacking. Większość takich ataków skupia się na wydobyciu waluty Monero (XMR).

Zespół VMware TAU odkrył, że 89 proc. kryptominerów korzystało z bibliotek związanych z XMRig. Z tego powodu, gdy w binariach Linuksa zostaną wykryte biblioteki i moduły specyficzne dla XMRig, jest to prawdopodobnie dowód na włamanie.

Cobalt Strike jako narzędzie zdalnego ataku

W celu przejęcia kontroli i utrzymania się w środowisku cyberprzestępcy próbują zainstalować w systemie implant, który daje im częściową kontrolę nad maszyną. Malware, webshells i Remote Access Tools (RAT) mogą być użyte w zagrożonym systemie, aby umożliwić zdalny dostęp. Jednym z podstawowych narzędzi wykorzystywanych przez atakujących jest Cobalt Strike, komercyjne narzędzie do przeprowadzania testów penetracyjnych i pracy w zespole red team, oraz jego najnowszy wariant oparty na Linuksie — Vermilion Strike.

Zespół VMware TAU między lutym 2020 a listopadem 2021 wykrył w internecie ponad 14 tys. aktywnych serwerów Cobalt Strike Team. Łączny odsetek złamanych i wyciekłych identyfikatorów klientów Cobalt Strike wynosi 56 proc., co oznacza, że ponad połowa użytkowników może być cyberprzestępcami lub przynajmniej nielegalnie używać Cobalt Strike.

–  Od czasu przeprowadzenia naszej analizy zaobserwowano, że jeszcze więcej rodzajów ransomware upodobało sobie Linuksa. To rodzi możliwość dodatkowych ataków, które mogą wykorzystywać luki, np. w Log4j – powiedział Piotr Kraś, Senior Manager Solution Engineering w VMware.

Ataki wymierzone w chmurę wciąż ewoluują, dlatego powinniśmy przyjąć podejście Zero Trust, aby osadzić zabezpieczenia w całej infrastrukturze i systematycznie zajmować się wektorami zagrożeń, które tworzą powierzchnię dla ataku, radzą eksperci VMware.

Pięć rodzajów cyberataków, na które trzeba uważać w 2022 r.

Analitycy z FortiGuard Labs firmy Fortinet wskazują pięć rodzajów ataków, na które trzeba będzie szczególnie uważać w 2022 roku.

1. Ataki na Linuksa i chmurę

…o czym główna część wpisu powyżej.

2. Ataki na sieci satelitarne

Wraz ze wzrostem liczby połączeń wykorzystujących oferowany już przez kilku dostawców internet satelitarny, prawdopodobieństwo pojawienia się nowych eksploitów wymierzonych w te sieci także będzie większe. Najważniejszym celem ataków będą firmy, które polegają na łączności satelitarnej, aby eliminować opóźnienia w transmisji danych. Jest to istotne np. w grach online, zapewnianiu usług o znaczeniu krytycznym w odległych lokalizacjach, dla jednostek użyteczności publicznej czy branży transportowej. Zainteresowanie przestępców tymi obszarami sprawia, że ponownie wzrośnie możliwy zakres ataku, ponieważ firmy za pomocą sieci satelitarnych łączą te systemy, które wcześniej nie były połączone z siecią, jak np. zdalne urządzenia stosowane w środowiskach technik operacyjnych (OT).

3. Ataki na portfele kryptowalutowe

Coraz więcej rodzajów złośliwego oprogramowania potrafi wykraść dane uwierzytelniające do portfeli kryptowalut, takie jak klucze prywatne Bitcoin, adresy portfeli i inne istotne informacje. Ataki tego rodzaju często rozpoczynane są kampanią phishingową, w ramach której wykorzystywane są klasyczne działania socjotechniczne, polegające na dołączaniu złośliwego dokumentu Microsoft Word do wiadomości e-mail. Przykładem narzędzia atakującego portfele kryptowalutowe jest też nowy trojan zdalnego dostępu (RAT) o nazwie ElectroRAT. Połączono w nim inżynierię społeczną z niestandardowymi aplikacjami kryptowalutowymi, a także zapewniono funkcję keyloggingu (przechwytywania znaków wpisywanych za pomocą klawiatury), wykonywania zrzutów ekranu, wysyłania i pobierania plików oraz wykonywania poleceń.

4. Ataki na systemy przemysłowe i infrastrukturalne (OT)

Ataki typu ransomware są coraz częściej wymierzone w infrastrukturę krytyczną, a do opisania charakteru niektórych z tych incydentów używa się sformułowania „killware”. Chociaż ataki te nie muszą stanowić bezpośredniego zagrożenia dla ludzkiego życia, to użycie tego terminu jest zasadne, ponieważ złośliwe oprogramowanie, które zakłóca pracę szpitali i innej infrastruktury krytycznej, ma bezpośredni wpływ na ludzi. Cyberprzestępcy prowadzą ataki na infrastrukturę OT w taki sposób, aby miały one znaczący wpływ na świat fizyczny. Niemal powszechna konwergencja sieci IT i OT ułatwia im dostęp do krytycznych systemów za pośrednictwem sieci domowych i urządzeń pracowników zdalnych. Dodatkowym czynnikiem zwiększającym ryzyko jest fakt, że przestępcy nie muszą posiadać specjalistycznej wiedzy technicznej na temat systemów ICS i SCADA, ponieważ narzędzia do prowadzenia ataków można kupić w Darkwebie.

5. Ataki na brzegową infrastrukturę sieciową

Wzrost liczby osób pracujących zdalnie naraża infrastrukturę sieci korporacyjnych na wiele zagrożeń występujących tradycyjnie w sieciach domowych. Znaczne rozszerzenie brzegu infrastruktury sieciowej oznacza, że powstaje więcej miejsc, w których mogą być ukryte zagrożenia typu living off the land. Stosujący tę technikę przestępcy wykorzystują złośliwe oprogramowanie stworzone na podstawie istniejących już wcześniej, niegroźnych zestawów narzędzi, dzięki czemu ich ataki wyglądają jak normalna aktywność systemu. Ataki tego typu mogą być również łączone z trojanami dostępu brzegowego (EAT). Unikające wykrycia złośliwe oprogramowanie zlokalizowane w środowiskach brzegowych może wykorzystywać lokalne zasoby do obserwowania działań i danych na brzegu sieci, a następnie wykradać je lub szyfrować i żądać okupu za przywrócenie dostępu do nich.

(grafika tytułowa: źr. VMware)