Меню
Поиск

Интерес злоумышленников к Linux-системам неуклонно растет

15 сентябрь, 2020 - 14:55

Устройства на базе Linux все чаще подвергаются целевым атакам злоумышленников посредством специально разработанных инструментов. За последние восемь лет, по оценкам «Лаборатории Касперского», такие операции проводили более десяти развитых кибергрупп, в том числе Barium, Sofacy, Lamberts, Equation, TwoSailJunk cо зловредами LightSpy и WellMess.

Вредоносные инструменты, нацеленные на Linux-системы, позволяют злоумышленникам делать атаки более эффективными и заражать большее количество устройств, а также скрываться в случае обнаружения атаки на дополнительных точках, таких как стационарные компьютеры разработчиков, серверы и корпоративный интернет вещей.

Компании по всему миру, а также государственные учреждения, все чаще используют Linux: это связано с распространением технологий виртуализации и контейнеризации. Кроме того, в некоторых организациях Linux – доминирующая десктопная среда, когда речь идет о работе с конфиденциальными данными. К сожалению, ложное чувство защищенности создает распространенный миф о том, что эта операционная система не подвержена киберугрозам.

Конечно, целевые атаки на Linux-системы пока еще случаются не слишком часто, но каждая крупная группа уже создает для них специальное вредоносное ПО, такое как веб-оболочки, бэкдоры, руткиты и даже кастомизированные эксплойты. Эти атаки, несмотря на свою малочисленность или, наоборот, благодаря ей, оказываются весьма успешными и трудными для обнаружения. В результате злоумышленники получают не только доступ к зараженному устройству, но и возможность проникнуть через него на устройства под управлением Windows и macOS, что открывает перед ними широкие возможности.

Для противодействия целевым атакам на Linux-системы специалисты рекомендуют:

  • устанавливать ПО только из проверенных источников и избегать обновлений через незашифрованные каналы;
  • не запускать бинарные файлы и скрипты из ненадежных источников (широко рекламируемый способ устанавливать программы командой типа curl https://install-url | sudo bash недопустим с точки зрения информационной безопасности);
  • убедиться в эффективности используемых процедур обновлений и наличии автоматических обновлений;
  • установить защитный экран надлежащим образом: убедиться, что он записывает сетевую активность, блокирует неиспользуемые порты и минимизирует сетевой след;
  • внедрить SSH-авторизацию по ключу и защищать ключи паролями;
  • использовать двухфакторную аутентификацию и хранить ключи на внешних токенах;
  • применять внеполосный перехватчик трафика для независимого мониторинга и анализа сетевых коммуникаций Linux-систем;
  • поддерживать целостность исполняемых файлов и регулярно отслеживать изменения в конфигурационных файлах;
  • внедрить меры для отражения атак с использованием инсайдеров и физических атак: полное шифрование дисков, безопасную перезагрузку и пломбировочный скотч на критически важном оборудовании;
  • регулярно проводить аудит систем и проверять логи индикаторов атак;
  • проводить тесты на проникновение для Linux-систем;
  • использовать надежные защитные решения, обеспечивающие в том числе безопасность Linux-систем.