Linux накрыло вредоносами
В 2021 г. суммарное число заражений Linux-устройств вредоносным ПО подскочило более чем на треть. По подсчетам исследователей из компании Crowdstrike, работающей в сфере информационной безопасности, по сравнению с 2020 г. их стало больше на 35%. Львиную долю этого прироста составили попытки хакеров компрометации устройств интернета вещей (Internet of Things, IoT). Они, как правило, работают на урезанных версиях Linux. Взламывая простенькие устройства, хакеры могут объединять их в крупные ботнет-сети для проведения масштабных DDoS-атак.
Такой стремительный рост эксперты объясняют в первую очередь именно быстрым распространением недорогих устройств интернета вещей. По данным ИБ-компании Intezer, в большинстве своем они наделены слабой защитой и немалым числом уязвимостей в прошивке, которые производители не спешат закрывать. Для примера, еще в начале 2020 г. около 57% таких устройств было подвержено атакам различной степени тяжести (статистика Palo Alto Networks март 2020 г.). Как сильно выросло их количество за неполные два года, неизвестно.
Устройства интернета вещей под управлением Linux являются легкой добычей для злоумышленников, а их массовая компрометация может поставить под угрозу целостность критически важных интернет-сервисов. По прогнозам Crowdstrike, к концу 2025 г. более 30 млрд таких устройств будут подключены к интернету, что только на руку киберпреступникам.
Какие Linux-вредоносы популярны у хакеров
Наиболее распространенными семействами вредоносов под Linux оказались XorDDoS, Mirai и Mozi. Согласно отчету Crowdstrike, по итогам 2021 г. на них пришлось около 22% всех зафиксированных атак на Linux-системы.
Рекордсменом в этом плане стало семейство Mozi. Всего за год его активность выросла в 10 раз. Mozi представляет собой одноранговую (P2P) ботнет-сеть, в которой используется система распределенной хеш-таблицы (DHT), реализующая собственный расширенный DHT.
Вредонос XorDDoS, оказавшийся в топ-3 по популярности среди киберпреступников – это своего род универсальный троян под Linux. Таковым его делает возможность работы в Linux под наиболее популярными архитектурами – ARM, x86 и х64.
Для связи с командным сервером XorDDoS использует протокол шифрования XOR, что отражено в его названии. Он ищет уязвимые устройства через сетевой протокол SSH, а при атаке на ПК открывает порт 2375 для root-доступа без пароля. В 2021 г. на фоне 2020 г. активность трояна выросла на 123%.
Mirai – это ботнет с множеством форков (модификаций). Наличие большого количества версий разных разработчиков является следствием открытости исходного кода.
Специалисты Crowdstrike не уточняют, как сильно выросла активность Mirai за минувший год. Но они обратили внимание на увеличение числа его форков. Среди них они отметили ботнет Dark Mirai, нацеленный на обычные пользовательские роутеры, используемые дома или в небольших компаниях. Также они акцентировали внимание на версии Moobot, используемой хакерами для атак на умные камеры видеонаблюдения.
Некоторые из наиболее распространенных вариантов Mirai, отслеживаемых исследователями CrowdStrike, включают Sora, IZIH9 и Rekai. По сравнению с 2020 г., в 2021 г. количество идентифицированных образцов для всех трех вариантов увеличилось на 33%, 39% и 83% соответственно.
С появлением нескольких вариантов Mirai с тех пор, как его исходный код стал общедоступным, троян для Linux можно считать общим предком многих современных вредоносных программ DDoS для Linux, считают эксперты CrowdStrike. «Несмотря на то, что большая часть модификаций лишь пополняют базовый набор функций Mirai или реализуют другие протоколы связи, по своей сути они имеют одну и ту же ДНК», – утверждают они.
Специалисты Intezer тоже подсчитали, что в 2021 г. активность вредоносного ПО под Linux выросла на 35%. Также они привели статистику за 2020 г. – на тот период рост активности составил 40%, а общее число обнаруженных новых семейств вредоносов достигло 56.
На DDoS свет клином не сошелся
По утверждению экспертов Crowdstrike, хакеры атакуют Linux-устройства и в частности устройства интернета вещей не только для проведения с их помощью DDoS-атак. Они используют ботнеты и для других своих преступных целей.
В частности, ботнеты, собранные из различных Linux-устройств, они нередко приспосабливают для рассылки спама и майнинга криптовалют. Также отдельные устройства могут эксплуатироваться в качестве командных серверов для управления ботнетами.
Поделиться