Linux под огнем: вредоносные программы сообщают о растущих угрозах

Как показывают коды ЦРУ OutlawCountry и Gyrfalcon, ориентированные на Linux, в двух отчетах утверждается, что атаки вредоносных программ для Linux быстро растут.

За последние несколько лет, по неподтвержденным данным, возрастают угрозы безопасности для устройств Linux.
Атаки ботнета Mirai прошлой осенью, которые превратили тысячи устройств Linux в армию зомби, используемую для атаки на инфраструктуру с помощью распределенного отказа в обслуживании (DDoS), были особенно эффективны для пробуждения сообщества Linux.


Прогресс бот-атак Mirai 2016 года на устройствах Linux

(щелкните изображение, чтобы увеличить)

Теперь мы видим количественную статистику в поддержку тенденции вредоносных программ для Linux.
Вслед за выпуском WikiLeaks, подробно описывающим инструменты для взлома CIA OutlawCountry и Gyrfalcon, предназначенные для Linux, AV-Test и WatchGuard выпустили отчеты, в которых утверждается, что компьютеры Linux являются одними из самых быстрорастущих объектов вредоносного ПО за последние полтора года.

По данным AV-Test , в 2016 году на компьютерах macOS наблюдалось наибольшее увеличение таргетинга вредоносных программ с 370-процентным увеличением, но Linux отставал от 300-процентного роста по сравнению с предыдущим годом - в три раза больше, чем в 2015 году . Отчет об интернет-безопасности WatchGuard , который вместо этого фокусируется на первом квартале 2017 года и утверждает, что вредоносные программы для Linux составили более 36 процентов основных угроз.


Глобальные вредоносные атаки в 2016 году и первом квартале 2017 года

(щелкните изображение, чтобы увеличить)

Десять лет назад Linux был неясен за пределами мира серверов, но любители Tux могли по крайней мере утешить себя безопасностью своей любимой ОС по сравнению с Windows.
Это помогло усилить в целом верное, но несколько нелогичное утверждение о том, что, пригласив любого пользователя на проверку кода на ошибки, вы можете создать более безопасную платформу, чем с проприетарной ОС.

Достойная цель

Первая трещина в доспехах Linux появилась в мире Android, где многие приложения показали себя вредными.
Однако не только платформа приложений - и фрагментация Android - способствовали росту, но и популярности Android.
В последние годы, когда все больше и больше маршрутизаторов на основе Linux, устройств домашней автоматизации и других устройств выходят на относительно незащищенную домашнюю сцену, хакеры все чаще находят Linux достойной целью.

Проблема не в том, что Linux небезопасен по сравнению с другими платформами.
Ядро Linux и другие компоненты регулярно обновляются в соответствии с последними угрозами, которые легче идентифицировать благодаря более активному участию открытого источника.
Разработчики постоянно совершенствуют механизмы обновления системы и защиты целостности , а также защищают от других возникающих угроз безопасности .

Хотя многое еще предстоит сделать, основная проблема заключается в том, что производители выпускают маршрутизаторы, бытовую электронику и оборудование IoT с устаревшими ядрами Linux и без или с ограниченными средствами защиты поверх стека Linux.
Поставщики IoT редко предлагают обновления ядра, и если они это делают, то обычно не существует беспроводного механизма (OTA).
Пользователь должен быть достаточно мотивирован, чтобы узнать об обновлении, а затем загрузить и установить его.
Кроме того, потребители, как правило, оставляют свои устройства незащищенными паролями или используют легко взломанные пароли.

OutlawCountry ЦРУ и Gyrfalcon выставлены

Эксплойт CIA OutlawCountry, который был представлен в выпуске Vault7 WikiLeaks 30 июня, фокусируется на Red Hat Embedded Linux (RHEL) и CentOS на основе RHEL в их версиях 6.x, которые в основном работают на серверах.
6 июля WikiLeaks добавил отчет, подробно описывающий имплантат ЦРУ Gyrfalcon , предназначенный для клиентов OpenSSH на более широком разнообразии платформ Linux.

Как описано в статье ZDNet о OutlawCountry, механизм использует преимущества устаревшей 64-битной версии ядра Linux 2.6.6-разрядных версий Red Hat.
Однако прежде чем OutlawCountry сможет выполнить свою работу, сервер должен быть скомпрометирован проникновением вредоносного модуля, а также получением привилегий root.
Затем OutlawCountry перенаправляет исходящий трафик на сервер, контролируемый CIA, создавая скрытую таблицу iptables или netfilter в сетевом стеке ядра Linux.
Red Hat работает над решением для OutlawCountry, которое было задокументировано ЦРУ два года назад и выпустило команду, чтобы пользователи могли проверять наличие инфекций.

Ранее в этом году WikiLeaks опубликовал информацию о эксплойте CIA «Плачущий ангел», который атакует интеллектуальные телевизоры Samsung на базе Tizen, а также о проекте CIA Dark Matter, который затрагивает Mac.
Несколько других - это обычные сетевые эксплойты, которые могут повлиять на устройства Linux, но большинство из 15 эксплойтов CIA, подробно описанных в документах WikiLeaks с более чем 8 000+, ориентированы на Windows.

По данным AV-Test, Windows представляла 70 процентов онлайн-угроз, обнаруженных системами защиты от вредоносного ПО AV-Test в 2016 году. В 2016 году количество атак Windows снизилось на 15 процентов, поскольку злоумышленники обратили свое внимание на Linux и Mac.
Тем не менее, любое облегчение в мире Windows может быть недолгим - в первом квартале 2017 года на Windows приходилось 77 процентов атак.

WannaCry Ransomware был самым большим бедствием для Windows в 2016 году, но атаки значительно замедлились.
AV-Test утверждает, что хотя вымогатели часто являются наиболее разрушительными, они представляют собой очень небольшое количество атак.


Прогресс атак цунами 2016 года на устройствах Linux

(щелкните изображение, чтобы увеличить)

В мире Linux ботнет Mirai, по-видимому, несколько угас, но другие вредоносные программы нацелены на те же устройства IoT.
К ним относятся вредоносная программа Bashlite и более старый, но всегда устойчивый бэкдор о цунами.
Общий процент атак Linux или macOS не был указан, но предположительно оба составляют основную часть 24,4 процентов атак 2016 года, не представленных Windows или Android.

Android-атаки

В число Linux не входит Android, на долю которого в 2016 году приходилось 5,65 процента всех вредоносных программ. Может показаться, что это немного, но в 2015 году количество атак в два раза выше, говорит AV-Test.

Самое печально известное вредоносное ПО Android за последние два года - StageFright - на самом деле заразило очень мало устройств, как утверждает Google .
Тем не менее, охранная фирма Check Point сообщает, что в прошлом году вредоносная программа Android под названием CopyCat заразила 14 миллионов устройств, несмотря на то, что они не попали в Google Play.
CopyCat закончила рутированием более половины из них, или около восьми миллионов устройств.
Большинство жертв были в Юго-Восточной Азии, но 280 000 были в Соединенных Штатах.
Создатели CopyCat заработали около 1,5 миллионов долларов, в основном за счет мошенничества с рекламой.


Вредоносные атаки Android в 2016 году

(щелкните изображение, чтобы увеличить)

Угрозы безопасности в целом снизились на 14 процентов в 2016 году по сравнению с 2015 годом.
Тем не менее, это по-прежнему второй по величине общий показатель с тех пор, как AV-Test начал свои исследования, и в 1-м квартале наблюдался рост.
По оценкам компании, в 2016 году было активно около 640 миллионов вредоносных программ.

Отчет об интернет-безопасности WatchGuard Technologies, основанный на отзывах 26 500 устройств WatchGuard UTM во всем мире, свидетельствует о том, что вредоносное ПО Linux растет даже быстрее, чем показывают измерения AV-Test.
Как отмечалось выше, в отчете WatchGuard говорится, что Linux является целью для 36 процентов вредоносных программ, обнаруженных в первом квартале этого года, причем устройства и серверы IoT получают львиную долю атак.

Другие тенденции включают увеличение количества атак на веб-серверы, что составляет 82 процента всех сетевых атак.
В отчете также были обнаружены сезонные тенденции: большинство вредоносных программ в четвертом квартале последовало замедление в первом квартале.

Возможно, для всех нас будет хорошей идеей узнать больше о безопасности.
В этом недавно обновленном обзоре криптографии для новичков от TheBestVPB.com рассматривается один аспект.

Эта статья защищена авторским правом © 2017 Linux.com и была первоначально опубликована здесь .
Он был воспроизведен этим сайтом с разрешения его владельца.
Пожалуйста, посетите Linux.com для получения последних новостей и статей о Linux и open source.