News

Minacce APT, esempi di attacchi a sistemi Linux

Linux può mettere al riparo da attacchi malware di massa, nel caso di minacce APT, persistenti avanzate, però, secondo i ricercatori di Kaspersky, gli hacker eseguono attacchi mirati focalizzati anche su questo sistema operativo

Pubblicato il 09 Ott 2020

Linux

Tante organizzazioni utilizzano il sistema operativo Linux per i server e sistemi di importanza strategica perché convinti che sia più sicuro e meno soggetto a minacce informatiche rispetto al più diffuso Windows. Sebbene questa affermazione sia vera per gli attacchi malware di massa, la situazione cambia quando si parla di minacce persistenti avanzate (APT). Inoltre, i ricercatori di Kaspersky hanno osservato come sia sempre più alto il numero di threat actor che esegue attacchi mirati contro dispositivi basati su Linux, sviluppando al contempo strumenti più focalizzati su questo sistema operativo.

Esempi di minacce APT

Negli ultimi otto anni è stato osservato come circa una dozzina di gruppi APT ha utilizzato malware per Linux o diversi moduli basati su Linux. Tra questi gruppi figurano minacce note come Barium, Sofacy, i Lambert e Equation, oltre a campagne più recenti come LightSpy di TwoSail Junk e WellMess. Diversificare il proprio arsenale con strumenti Linux permette ai criminali di condurre le operazioni in modo più efficace e su larga scala.

In molti Paesi è stata rilevata la propensione da parte di grandi aziende e enti governativi, di utilizzare Linux come ambiente desktop, ragione che spinge i threat actors a sviluppare malware per questa piattaforma. L’errata convinzione che Linux, sistema operativo poco diffuso, non possa essere preso di mira dai malware, aumenta i rischi per la sicurezza informatica.

Anche se gli attacchi mirati ai sistemi basati su Linux sono ancora poco comuni, esiste sicuramente un malware progettato ad hoc per loro tra cui webshell, backdoor, rootkit e persino exploit personalizzati. Inoltre, il numero ridotto di attacchi è un dato che può rivelarsi fuorviante, poiché è necessario tenere in considerazione anche le conseguenze di questi attacchi. Infatti, compromettere con successo un server basato su Linux ha delle conseguenze decisamente rilevanti. Gli attaccanti, per esempio, sono in grado di accedere al dispositivo infetto, ma anche agli endpoint che girano su Windows o macOS, fornendo così un ulteriore punto di accesso agli aggressori che potrebbero, in questo modo, passare inosservati.

Per esempio, Turla, un prolifico gruppo di lingua russa noto per le sue tattiche di esfiltrazione, ha cambiato radicalmente il suo toolset nel corso degli anni includendo una backdoor Linux. Secondo la telemetria di Kaspersky, una nuova versione della backdoor di Linux Penguin_x64, segnalata all’inizio del 2020, ha infettato, soltanto nel mese di luglio 2020, decine di server in Europa e negli Stati Uniti.

Un altro esempio è Lazarus, un gruppo APT di lingua coreana che continua a diversificare il suo set di strumenti e a sviluppare malware non legati a Windows. Di recente Kaspersky ha esaminato il framework multipiattaforma chiamato MATA e nel giugno 2020 i ricercatori hanno analizzato nuovi campioni legati alle campagne di Lazarus ‘Operation AppleJeus’ e ‘TangoDaiwbo’, utilizzate in attacchi finanziari e di spionaggio. I campioni studiati includevano malware Linux.

“La tendenza a potenziare i toolset APT è stata identificata dai nostri esperti molte volte in passato, e gli strumenti focalizzati su Linux non fanno eccezione. Con l’obiettivo di rendere sicuri i loro sistemi, i reparti IT e di sicurezza utilizzano Linux con maggiore frequenza rispetto a prima. I threat actor stanno rispondendo a questo trend con la creazione di strumenti sofisticati in grado di penetrare questi sistemi. Consigliamo agli esperti di sicurezza informatica di tenere conto di ciò e implementare misure aggiuntive per proteggere i loro server e le loro workstation”, ha dichiarato Yury Namestnikov, Head of Kaspersky’s Global Research and Analysis Team (GReAT) in Russia.

Come contrastare gli APT, ecco i suggerimenti dei ricercatori di Kaspersky

Per evitare di cadere vittima di un attacco mirato progettato per Linux da parte di threat actor noti o sconosciuti, i ricercatori di Kaspersky raccomandano di adottare le seguenti misure:

  • tenere un elenco di repository affidabili ed evitare di utilizzare canali di aggiornamento non criptati;
  • non eseguire codici binari e script da fonti non attendibili e non installare i programmi utilizzando comandi come “curl https://install-url | sudo bash” (sebbene sia un metodo diffuso, rappresenta un rischio per la sicurezza);
  • accertarsi che la procedura di aggiornamento in uso sia efficace e impostare gli aggiornamenti di sicurezza automatici;
  • configurare correttamente il firewall assicurandosi che registri l’attività di rete, blocchi tutte le porte non utilizzate e minimizzi l’ingombro di rete;
  • utilizzare l’autenticazione basata su chiavi SSH e impostare una password per le chiavi;
  • usare l’autenticazione a due fattori (2FA) e memorizzare le chiavi sensibili su dispositivi token esterni, come ad esempio Yubikey;
  • sfruttare un tap di rete out-of-band per monitorare e analizzare le comunicazioni del network dei sistemi Linux in modo indipendente;
  • preservare l’integrità dei file eseguibili del sistema e riesaminare regolarmente le modifiche dei file di configurazione;
  • prepararsi ad attacchi interni e fisici: utilizzare la crittografia completa del disco e boot affidabili ed etichettare l’hardware critico con un nastro di sicurezza antimanomissione;
  • condurre un audit del sistema e controllare i registri alla ricerca di indicatori di attacco;
  • fare penetration test sul setup Linux;
  • avvalersi di una soluzione di sicurezza per Linux come Integrated Endpoint Security. Le soluzioni di sicurezza forniscono una protezione web e di rete per rilevare il phishing, i siti web dannosi e gli attacchi di rete, oltre a controllare i dispositivi, consentendo agli utenti di definire regole per il trasferimento dei dati ad altri device. Kaspersky Hybrid Cloud Security permette di proteggere DevOps, abilita le integrazioni di sicurezza nelle piattaforme e nei container CI/CD e le scansioni delle immagini per difendersi dagli attacchi alla supply-chain.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4