Linux’un bulut hizmetleri, sanal makine ana bilgisayarları ve kapsayıcı tabanlı altyapı için sıklıkla temel olarak kullanılmasıyla birlikte, saldırganlar karmaşık açıklardan yararlanma ve kötü amaçlı yazılımlara sahip Linux ortamlarını giderek daha fazla hedef alıyor.
VMware müşterilerine yönelik saldırılardan toplanan telemetriye dayalı yeni analiz, sanal makine görüntülerine veya kapsayıcılarına bulaşmak için Linux ana bilgisayarlarını hedefleyen artan sayıda fidye yazılımı programlarını gösteriyor; yasa dışı erişimden para kazanmak için kripto hırsızlığının daha fazla kullanılması; ve 14.000’den fazla Kobalt Strike vakası – bunların %56’sı suçlular veya lisans satın almamış tasarruflu şirketler tarafından kullanılan korsan kopyalardır. Kırmızı ekip aracı, güvenliği ihlal edilmiş makineleri yönetmenin bir yolu olarak o kadar popüler hale geldi ki yer altı geliştiricileri Linux için Windows programının kendi protokol uyumlu sürümlerini oluşturdular, VMware yeni yayınlanan bir raporda “Linux tabanlı Çoklu Bulut Ortamları.”
VMWare’in Tehdit Analizi Birimi (TAU) grubunun lideri Brian Baskin, saldırganların Windows’tan Linux’a geçiş yapmayabilirken, etkinlik düzeyinin giderek Linux’u da hedeflediklerini gösterdiğini söylüyor.
“Çoğu araştırma Windows tarafına odaklandı, ancak şimdi Linux tarafında ve özellikle çoklu bulut altyapısına yönelik saldırılarda bir artış görüyoruz” diyor. “Gördüğümüz vakaların çoğu, hiper yönetici düzeyinde veya sunucu düzeyinde, paylaşılan hesaplarda, paylaşılan parolalarda ve kötü yapılandırılmış rol tabanlı erişim denetimlerinde yanlış yapılandırma içerir.”
İlk erişim genellikle istismar yoluyla değil, kimlik bilgisi hırsızlığı yoluyla olur. VMware’de tehdit istihbaratı kıdemli direktörü Giovanni Vigna, uzaktan kod yürütme, bu tür sistemleri ihlal etmenin en popüler ikinci yolu olsa da (yaygın Log4j güvenlik açıklarından yararlanma gibi), çalınan kimlik bilgileri genellikle saldırganlara kurbanın ağını keşfetmeleri için daha fazla zaman tanır.
“Ana saldırı yüzeyi alanı hala çalıntı kimlik bilgileri, bu da bir uzlaşmanın gerçekleştiğini anlamanın daha uzun sürmesi avantajına sahip” diyor. “Giriş kesinlikle normal görünebilir ve bir saldırgan kaynaklara erişebilir, ancak işler yanlış yönde ilerlemeye başlayana kadar ihlalin gerçekten tespit edilmesi mümkün değildir.”
Fidye Yazılımı Uyarısı
Ancak ilk erişimin ardından, çeşitli Linux tabanlı kötü amaçlı yazılımlar devreye girer. Saldırganlar, fidye yazılımlarından kripto madencilerine, Cobalt Strike gibi uzaktan erişim yönetimi yazılımlarının implantlarına kadar, güvenliği ihlal edilmiş Linux sistemlerinden ödün vermek ve bunlardan para kazanmak için çok çeşitli araçlar geliştirdiler.
BlackMatter fidye yazılımı programı, petrokimya dağıtım ağı Colonial Pipeline’a karşı kullanılan programın bir türevi iken HelloKitty, başlangıçta Linux dünyasına yayılan ve en çok CD Projekt Red saldırısında kullanımıyla tanınan Windows tabanlı bir sürümdü. Cyberpunk 2077 video oyununun yapımcıları.
Linux’u hedefleyen diğer varyantlar ve özellikle iş yüklerini barındıran Linux sunucuları da popüler hale geldi. rapora göre.
Raporda, “Fidye yazılımı yakın zamanda sanallaştırılmış ortamlarda iş yüklerini hızlandırmak için kullanılan Linux ana bilgisayar görüntülerini hedef alacak şekilde gelişti” deniyor. “Bu yeni ve endişe verici gelişme, saldırganların hedeflerine maksimum hasarı vermek için bulut ortamlarındaki en değerli varlıkları nasıl aradıklarını gösteriyor.”
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve uluslararası ortakları, 9 Şubat’ta belirli fidye yazılımı tehditlerine ilişkin tavsiye niteliğindeki bir uyarıdaki eğilime de dikkat çekiyor. Uluslararası siber güvenlik ajanslarına göre, 2021’de görülen en önemli değişimler arasında kimlik avı kullanımı, uzak masaüstü protokolü (RDP) aracılığıyla güvenli olmayan yapılandırmalara sahip sistemlerden yararlanma ve bulut altyapısına yönelik saldırılar yer aldı.
“Fidye yazılımı geliştiricileri, bulut uygulamaları, sanal makine yazılımı ve sanal makine düzenleme yazılımındaki bilinen güvenlik açıklarından yararlanmak için bulut altyapılarını hedef aldı.” uyarı durumları. “Fidye yazılımı tehdidi aktörleri ayrıca bulut kaynaklarına erişimi engellemek ve verileri şifrelemek için bulut hesaplarını, bulut uygulama programlama arayüzlerini (API’ler) ve veri yedekleme ve depolama sistemlerini hedef aldı.”
Saldırganlar ayrıca Linux altyapısına yönelik saldırılarını yönetmek için daha karmaşık araçlar kullanmaya başlıyor. Cobalt Strike, kırmızı ekipler ve penetrasyon test cihazları tarafından kullanılan Windows odaklı bir saldırı yönetim sistemidir, ancak VMware’in raporuna göre saldırganlar artık Linux kampanyalarında bunu kullanıyor.
“CobaltStrike daha yaygın hale geliyor çünkü en olgun ve resmileştirilmiş C2 [command-and-control] Dışarıdaki altyapı,” diye ekliyor Baskin, “Suçlular tarafından kullanımın arttığını görüyoruz, ancak bazı işletmeler tarafından ek kullanım da görüyoruz. [that] belki ehliyet almaya gücü yetmez.”
VMware’in Cobalt Strike sunucularına yönelik araştırması, implantları hazırlama sunucusundan indirerek ve ardından daha spesifik bilgiler toplamak için dosyadaki bilgileri bozarak 14.000 sunucu buldu. Grup, Kobalt Strike programının altı versiyonundan birinin deneme sürümünü gösteren 0 müşteri kimliğine sahip olduğunu buldu, ancak bunlar büyük olasılıkla kırılmış durumda. Diğer dört özel kimlik, kalan Cobalt Strike sunucularının yaklaşık %40’ını oluşturuyordu ve bu, bu örneklerdeki korumanın da tehlikeye atıldığını gösteriyor.