За последние восемь лет такие операции проводили более десяти развитых кибергрупп, в том числе Barium, Sofacy, Lamberts, Equation, TwoSail Junk c зловредами LightSpy и WellMess. Вредоносные инструменты, нацеленные на Linux-системы, позволяют злоумышленникам делать атаки более эффективными и заражать большее количество устройств, а также скрываться в случае обнаружения атаки на дополнительных точках, таких как стационарные компьютеры разработчиков, серверы и корпоративный интернет вещей.
Компании по всему миру, а также государственные учреждения, всё чаще используют Linux: это связано с распространением технологий виртуализации и контейнеризации. Кроме того, в некоторых организациях Linux — доминирующая десктопная среда, когда речь идёт о работе с конфиденциальными данными. К сожалению, ложное чувство защищённости создаёт распространённый миф о том, что эта операционная система не подвержена киберугрозам. Конечно, целевые атаки на Linux-системы пока ещё случаются не слишком часто, но каждая крупная группа уже создаёт для них специальное вредоносное ПО, такое как веб-оболочки, бэкдоры, руткиты и даже кастомизированные эксплойты. Эти атаки, несмотря на свою малочисленность или, наоборот, благодаря ей, оказываются весьма успешными и трудными для обнаружения. В результате злоумышленники получают не только доступ к заражённому устройству, но и возможность проникнуть на устройства под управлением Windows и macOS, что открывает перед ними широкие возможности.
Например, «Лаборатория Касперского» недавно рассказывала о мультиплатформенном фреймворке MATA. Кроме того, в июне 2020 года эксперты анализировали несколько образцов вредоносного ПО под Linux, которые использовала группа Lazarus в операциях Operation AppleJeus и TangoDaiwbo, совершаемых с целью кибершпионажа и кражи денег.
«Мы много раз видели, как совершенствуются наборы инструментов, используемые для проведения сложных атак, и зловреды под Linux-устройства не являются исключением. Сегодня ИТ- и ИБ-департаменты используют эту операционную систему чаще, чем раньше, с целью снижения издержек и создания легкомасштабируемой инфраструктуры. Злоумышленники же в ответ создают сложные вредоносные инструменты под Linux, ведь часто именно на таких машинах обрабатываются наиболее интересные для атакующих данные. Мы рекомендуем экспертам по информационной безопасности учесть это и внедрить дополнительные меры для защиты серверов и рабочих станций», — комментирует Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
Для противодействия целевым атакам на Linux-системы «Лаборатория Касперского» рекомендует компаниям:
-устанавливать ПО только из проверенных источников и избегать обновлений через незашифрованные каналы;
-не запускать бинарные файлы и скрипты из ненадёжных источников. Широко рекламируемый способ устанавливать программы командой типа curl https://install-url | sudo bash недопустим с точки зрения информационной безопасности;
-убедиться в эффективности используемых процедур обновлений и наличии автоматических обновлений;
-установить защитный экран надлежащим образом: убедиться, что он записывает сетевую активность, блокирует неиспользуемые порты и минимизирует сетевой след;
-внедрить SSH-авторизацию по ключу и защищать ключи паролями;
-использовать двухфакторную аутентификацию и хранить ключи на внешних токенах;
-применять внеполосный перехватчик трафика для независимого мониторинга и анализа сетевых коммуникаций Linux-систем;
-поддерживать целостность исполняемых файлов и регулярно отслеживать изменения в конфигурационных файлах;
-внедрить меры для отражения атак с использованием инсайдеров и физических атак: полное шифрование дисков, безопасную перезагрузку и пломбировочный скотч на критически важном оборудовании;
-регулярно проводить аудит систем и проверять логи индикаторов атак;
-проводить тесты на проникновение для Linux-систем;
-использовать надёжные защитные решения, обеспечивающие в том числе безопасность Linux-систем, такие как интегрированное решение для комплексной защиты рабочих мест и Kaspersky Security для виртуальных и облачных сред.
Материал подготовлен АО "Лаборатория Касперского"
Платформа «Р7-Офис» гарантирует безопасность при передаче данных в реальном времени и совместном редактировании документов.
Современные ИТ-инфраструктуры активно внедряют контейнерные технологии, и Docker остается одним из самых популярных решений. Контейнеры обеспечивают легковесную изоляцию, быстрое развертывание приложений и гибкость масштабирования, что ускоряет процессы разработки и доставки ПО
Ключевая проблема: Более 30% пользователей в России никогда не меняли пароль от домашнего Wi-Fi роутера, оставляя свою сеть уязвимой для взлома.
Исследование «Лаборатории Касперского»*: россияне редко меняют пароли от Wi-Fi-роутеров
«МойОфис» представил обновленные версии корпоративных продуктов Squadus 1.7, Squadus PRO 1.7, «МойОфис Частное Облако» 3.2 и «МойОфис Стандартный». Нововведения создают удобное и защищенное пространство для эффективной командной работы. Также, в рамках релиза была значительно расширена функциональность приложений для частных лиц «МойОфис для дома»
Компания «РуБэкап» (входит в «Группу Астра») получила престижную премию FINNEXT на ежегодном форуме финансовых инноваций. Разработчик решения RuBackup признан лидером в специальной номинации «Эффективное импортозамещающее решение для резервного копирования, восстановления и защиты данных для банков»
Компании «Киберпротект» и Orion soft подтвердили взаимную совместимость системы резервного копирования Кибер Бэкап и платформы оркестрации контейнеризированных приложений Nova Container Platform. Вместе решения дают заказчикам инструменты для комплексной защиты данных в контейнерах: не только для гибкого резервного копирования и восстановления информации, но также и для мониторинга и контроля потенциальных уязвимостей
Разработчик ИИ-решений для интеллектуальной обработки информации Content AI и поставщик компьютерного оборудования ПИРИТ договорились о сотрудничестве при продвижении своих продуктов. Компании будут реализовывать сканеры Avision с редактором ContentReader PDF для корпоративных пользователей отечественных операционных систем
В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP
Злоумышленники обновили свою схему, предупреждают эксперты «Лаборатории Касперского»
Ваши контактные данные не публикуются на сайте.