В последнее время Linux-системы приобрели особую популярность в мультиоблачной среде (около 80% веб-сайтов), поэтому всё чаще становятся объектом атак со стороны злоумышленников. Основные угрозы в мультиоблачной среде — это программы-вымогатели (ransomware); программы — установщики криптомайнеров; программы — установщики средств удаленного управления (RATs).
— Программы-вымогатели могут поражать имиджи Linux-систем, из которых происходит развертывание виртуальных серверов в облаке, что обеспечивает их дальнейшее распространение, — рассказывает старший менеджер компании VMware по развитию бизнеса сетевых технологий и информационной безопасности Дмитрий Жечков. — Обычно такая атака сопровождается кражей ценной информации, зашифровкой диска и требованием выкупа. Программы — установщики криптомайнеров, помимо снижения производительности атакуемого сервера за счет скрытого использования его процессора для майнинга криптовалют, могут также заниматься кражей криптокошельков.
Эксперты компании VMware описали основные сценарии использования вредоносных программ для атак на системы под ОС Linux:
В ходе исследования департамент анализа угроз VMware использовал статические и динамические методы для характеристики различных семейств вредоносных программ, обнаруженных в системах на базе Linux, на основе тщательно отобранного набора данных, связанных с бинарными файлами Linux. Специалисты VMware собрали более 11 тыс. доброкачественных образцов из нескольких дистрибутивов Linux, в частности Ubuntu, Debian, Mint, Fedora, CentOS и Kali.
— Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых — операционные системы на базе Linux, чтобы добиться максимального эффекта при минимальных усилиях, — отметил Джованни Винья, старший директор подразделения анализа угроз безопасности компании VMware. — Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Злоумышленники атакуют как публичные, так и частные облачные среды.
Существующие средства противодействия вредоносному ПО в основном направлены на устранение угроз для серверов под управлением Windows, поэтому многие облака, работающие с программными решениями на базе Linux.
Еще несколько лет назад системы Linux считались маловероятной мишенью для программ-вымогателей, но киберпреступники всё же научились их атаковать, рассказывает «Известиям» исследователь вредоносного ПО в компании Avast Ян Недухал. Самую большую опасность это представляет для бизнеса, поскольку на Linux работают серверы многих компаний. Кроме того, на этих серверах может храниться конфиденциальная информация клиентов.
Недавние атаки с помощью программ-вымогателей на сетевое хранилище данных компании QNAP — один из примеров атаки на Linux-систему, при которой пострадали как частные, так и корпоративные пользователи. Также пользователи Linux часто сталкиваются с майнерами — вредоносными программами, которые используют зараженные устройства для майнинга криптовалют.
— Атаки программ-вымогателей приводят к единовременным финансовым убыткам — либо из-за нарушения текущих бизнес-процессов, либо в том случае, если компания решила заплатить выкуп, — объясняет Ян Недухал. — Жертвы майнеров могут получать огромные счета за электричество. Кроме того, зараженные устройства начинают медленнее работать и выдавать ошибки, срок их службы значительно сокращается.
Отличительной особенностью операционных систем с открытым кодом, к которым относится и Linux-системы, является отсутствие процедур управления и отслеживания уязвимостей, а также выстроенных процессов установки исправлений, отмечает директор по продуктовой стратегии «Группы Т1» Сергей Иванов.
— Существует незначительное количество отечественных, существенно переработанных и «закрытых» решений на базе ОС Linux. Но большинство систем становятся беззащитны после обнаружения очередной уязвимости и опубликованного эксплойта — вредоносного кода, использующего появившуюся возможность, — говорит он. — Далее злоумышленники начинают активно модифицировать и тиражировать код.
Поскольку каждый производитель дистрибутива Linux разрабатывает собственную процедуру обработки уязвимостей, действия системно не координируются. Таким образом, злоумышленники получают относительно длительное время для использования открывшейся уязвимости.
Серверы имеют больше вычислительных ресурсов и подключены к широким каналам связи, поэтому злоумышленники развивают семейства вредоносного ПО, направленные на майнинг криптовалют на зараженных серверах и проведение DDоS атак на сети и веб-сайты. Как правило, после заражения злоумышленники устанавливают контроль над операционной системой, а функционал, который в дальнейшем монетизируется злоумышленником, может меняться, отмечает директор подразделения DevOps/DevSecOps, сооснователь Proto Group Денис Безкоровайный. Например, сначала используется просто майнинг, приносящий небольшой доход, а в случае поступления более выгодного целевого заказа на DDоS зараженную машину с ОС Linux применяют для проведения такой атаки.
В настоящее время пользователей различных деривативов ОС Linux подстерегают две самые актуальные угрозы, найденные исследователями в конце 2021 года, говорит ведущий консультант по ИБ компании R-Vision Евгений Грязнов. Первая — это уязвимость Log4j, присутствующая практически в каждом Java-приложении. При этом, по данным различных специалистов, процент Java-приложений в средней компании в зависимости от отрасли составляет от 60 до 94%. Вторая — присутствующая практически в каждом дистрибутиве Linux уязвимость PwnKit!, которая позволяет обычному пользователю легко получить права администратора.
Эти уязвимости, по оценкам экспертов, будут самыми распространенными в 2022 году. Защититься от них достаточно просто. Нужно вовремя устанавливать требуемые обновления программного обеспечения. Однако во многих компаниях до сих пор используется устаревшее ПО, которое не обновляется своевременно. Иногда же пользователи просто не подозревают, что в установленном на их системах ПО есть эта уязвимость.
— Кроме этого, набирают силу атаки на так называемую цепочку поставок, когда в используемые разработчиками ПО компоненты добавляют зловредный код, — разъясняет ведущий консультант по ИБ компании R-Vision. — Здесь поможет только использование антивирусного ПО. К счастью, подобные атаки не так часто угрожают рядовым пользователям.
Руководитель направления перспективных исследований ГК «Астра» (создатели одной из отечественных версий ОС Linux) Роман Мылицын напоминает, что основную угрозу для таких ОС представляют уязвимости нулевого дня, для которых еще не вышли патчи безопасности, и уязвимости с высоким уровнем критичности в том случае, если пользователь не успел поставить обновления. Среди наиболее актуальных и опасных на данный момент уязвимостей можно выделить Log4Shell и вышеупомянутый PwnKit!. Не меньшие риски несут в себе интернет-сайты и веб-страницы со встроенными майнерами криптовалют.
По статистике специализированного сайта CVE Details, сравнивая ОС семейства Linux с ОС семейства Windows, можно сделать вывод, что количество уязвимостей, найденных в 2021 и 2022 годах у данных ОС, примерно одинаково: 188 против 153.
— Основные уязвимости обеих ОС связаны с неправильной конфигурацией настроек, — отмечает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. — ОС Microsoft в этом плане проще в настройке, а ОС Linux сложнее. Но самое главное, что на Linux-системы часто устанавливают разнообразное ПО класса OpenSource, что и приводит к наличию уязвимостей.
Если задаться безопасной настройкой ОС Linux, то надо защитить подключение по SSH, так как это первое, что проверяется при проведении взломов, включить использование сертификатов и правильно подойти к распределению прав доступа для учетных записей. Также следует ограничить количество устанавливаемых пакетов и стандартизировать используемые дистрибутивы и настройки ОС.
— Своевременное обновление ПО и ОС, грамотная настройка удаленного доступа и правил межсетевого экранирования — и вероятность взлома ваших активов будет существенно ниже, — говорит Дмитрий Овчинников.
Дмитрий Жечков отмечает, что защита мультиоблачных сред начинается с обеспечения полной видимости за всеми виртуальными серверами с подробным системным контекстом. Это облегчает локализацию атак и приоритизацию усилий по смягчению последствий, если атака удалась.
— Для отслеживания процессов, которые запускаются внутри виртуальных серверов, используются EDR-системы (Endpoint Detection and Response), — объясняет Дмитрий Жечков. — Для отслеживания распространения атак необходимы NDR-системы (Network Detection and Response), работающие на уровне сети. Для контроля рисков внутри самой инфраструктуры можно использовать микросегментацию с моделью нулевого доверия (Zero Trust). Желательно, чтобы средства сегментации и защиты были интегрированы непосредственно в платформу виртуализации, внутри которой создаются виртуальные серверы. Таким образом, обеспечивается их автоматическое наличие в любой точке инфраструктуры, куда подключается/переносится виртуальный сервер.
Все эти меры позволяют значительно снизить риски появления успешных атак и снизить скорость их распространения, быстрее смягчать последствия атак.
Дмитрий Алексеев