La sua reputazione di sicurezza significa che Linux è spesso considerato meno vulnerabile ai tipi di minacce che regolarmente affliggono i sistemi Microsoft Windows. Gran parte della sicurezza percepita deriva dal numero relativamente basso di sistemi Linux, ma i criminali informatici stanno iniziando a vedere il valore nella scelta qualità più che quantità?

Il panorama delle minacce Linux sta cambiando

I ricercatori sulla sicurezza di aziende come Kaspersky e Blackberry, insieme ad agenzie federali come il FBI e NSA avvertono che gli autori di malware aumentano la loro attenzione su Linux.

Il sistema operativo è ora riconosciuto come un gateway per dati preziosi come segreti commerciali, proprietà intellettuale e informazioni sul personale. I server Linux possono anche essere utilizzati come punto di staging per l'infezione di reti più ampie piene di dispositivi Windows, macOS e Android.

Anche se non è il sistema operativo in esecuzione sul tuo desktop o laptop, è probabile che i tuoi dati vengano esposti a Linux prima o poi. Il tuo cloud storage, VPN e provider di posta elettronica, nonché il tuo datore di lavoro, assicurazione sanitaria, servizi governativi o università, sono quasi certamente eseguono Linux come parte delle loro reti, ed è probabile che tu possieda o possiederai un dispositivo Internet Of Things (IoT) basato su Linux ora o nel futuro.

instagram viewer

Molteplici minacce sono state scoperte negli ultimi 12 mesi. Alcuni sono noti malware di Windows portati su Linux, mentre altri sono rimasti inosservati sui server per quasi un decennio, dimostrando quanto i team di sicurezza abbiano sottovalutato il rischio.

Molti amministratori di sistema potrebbero presumere che la loro organizzazione non sia abbastanza importante per essere un obiettivo. Tuttavia, anche se la tua rete non è un grande premio, i tuoi fornitori o clienti potrebbero dimostrarsi più allettanti e ottenere l'accesso al proprio sistema, ad esempio tramite un attacco di phishing, può essere un primo passo per infiltrarsi il loro. Così è vale la pena valutare come proteggi il tuo sistema.

10 ottimi consigli per proteggere la tua privacy su Linux

Indipendentemente dal fatto che si creda che Linux sia il sistema operativo più sicuro, tutti i sistemi operativi presentano rischi e vulnerabilità che possono essere sfruttati. Ecco come gestirli su Linux.

Malware Linux scoperto nel 2020

Ecco il nostro arrotondare delle minacce che sono state identificate nell'ultimo anno.

RansomEXX Trojan

I ricercatori di Kaspersky hanno rivelato a novembre che questo Trojan era stato portato su Linux come eseguibile. Alla vittima vengono lasciati file crittografati con un codice AES a 256 bit e istruzioni su come contattare gli autori del malware per recuperare i propri dati.

La versione Windows ha attaccato alcuni obiettivi significativi nel 2020, tra cui Konica Minolta, il Dipartimento dei trasporti del Texas e il sistema giudiziario brasiliano.

RansomEXX è specificamente adattato a ciascuna vittima, con il nome dell'organizzazione incluso sia nell'estensione del file crittografato che nell'indirizzo e-mail sulla richiesta di riscatto.

Gitpaste-12

Gitpaste-12 è un nuovo worm che infetta i server x86 e i dispositivi IoT che eseguono Linux. Prende il nome dal suo utilizzo di GitHub e Pastebin per scaricare il codice e per i suoi 12 metodi di attacco.

Il worm può disabilitare AppArmor, SELinux, firewall e altre difese, nonché installare un minatore di criptovaluta.

IPStorm

Nota su Windows da maggio 2019, a settembre è stata scoperta una nuova versione di questa botnet in grado di attaccare Linux. Disarma il killer della memoria insufficiente di Linux per mantenerlo in esecuzione e interrompe i processi di sicurezza che potrebbero impedirne il funzionamento.

L'edizione Linux include funzionalità extra come l'utilizzo di SSH per trovare obiettivi, sfruttare i servizi di gioco di Steam e scansionare siti Web pornografici per falsificare i clic sugli annunci pubblicitari.

Ha anche un gusto per infettare i dispositivi Android collegati tramite Android Debug Bridge (ADB).

Drovorub

L'FBI e la NSA hanno evidenziato questo rootkit in un avvertimento ad agosto. Può eludere gli amministratori e il software antivirus, eseguire comandi di root e consentire agli hacker di caricare e scaricare file. Secondo le due agenzie, Drovorub è opera di Fancy Bear, un gruppo di hacker che lavora per il governo russo.

L'infezione è difficile da rilevare, ma l'aggiornamento almeno al kernel 3.7 e il blocco dei moduli del kernel non attendibili dovrebbero aiutare a evitarlo.

Lucifero

Il bot di criptovaluta e di negazione del servizio distribuito Lucifer è apparso per la prima volta su Windows a giugno e su Linux ad agosto. L'incarnazione Linux di Lucifer consente attacchi DDoS basati su HTTP nonché su TCP, UCP e ICMP.

Penquin_x64

Questo nuovo ceppo della famiglia di malware Turla Penquin è stato rivelato dai ricercatori a maggio. È una backdoor che consente agli aggressori di intercettare il traffico di rete ed eseguire comandi senza acquisire root.

Kaspersky ha rilevato l'exploit in esecuzione su dozzine di server negli Stati Uniti e in Europa a luglio.

Doki

Doki è uno strumento backdoor che si rivolge principalmente a server Docker mal configurati per installare minatori crittografici.

Mentre il malware di solito contatta indirizzi IP o URL predeterminati per ricevere istruzioni, i creatori di Doki hanno impostato un sistema dinamico che utilizza l'API di blockchain crittografica Dogecoin. Ciò rende difficile smantellare l'infrastruttura di comando poiché gli operatori di malware possono cambiare il server di controllo con una sola transazione Dogecoin.

Per evitare Doki, assicurati che la tua interfaccia di gestione Docker sia configurata correttamente.

TrickBot

TrickBot è un Trojan bancario, utilizzato per attacchi ransomware e furti di identità, che ha anche fatto il passaggio da Windows a Linux. Anchor_DNS, uno degli strumenti utilizzati dal gruppo dietro TrickBot, è apparso in una variazione di Linux a luglio.

Anchor_Linux funge da backdoor e di solito viene distribuito tramite file zip. Il malware crea un file cron attività e contatta un server di controllo tramite query DNS.

Relazionato: Come individuare un'e-mail di phishing

Magnate

Il Tycoon Trojan viene solitamente diffuso come Java Runtime Environment compromesso all'interno di un archivio zip. I ricercatori lo hanno scoperto a giugno in esecuzione su entrambi i sistemi Windows e Linux di piccole e medie imprese e istituti scolastici. Crittografa i file e richiede il pagamento del riscatto.

Cloud Snooper

Questo rootkit dirotta Netfilter per nascondere i comandi e il furto di dati nel normale traffico web per aggirare i firewall.

Identificato per la prima volta sul cloud di Amazon Web Services a febbraio, il sistema può essere utilizzato per controllare il malware su qualsiasi server dietro qualsiasi firewall.

PowerGhost

Sempre a febbraio, i ricercatori di Trend Micro hanno scoperto che PowerGhost era passato da Windows a Linux. Questo è un minatore di criptovaluta senza file che può rallentare il sistema e degradare l'hardware a causa di una maggiore usura.

La versione Linux può disinstallare o uccidere i prodotti anti-malware e rimane attiva utilizzando un'attività cron. Può installare altri malware, ottenere l'accesso come root e diffondersi attraverso le reti utilizzando SSH.

FritzFrog

Da quando questa botnet peer-to-peer (P2P) è stata identificata per la prima volta nel gennaio 2020, sono state trovate altre 20 versioni. Le vittime includono governi, università, centri medici e banche.

Fritzfrog è un malware senza file, un tipo di minaccia che risiede nella RAM anziché sul disco rigido e sfrutta le vulnerabilità del software esistente per svolgere il proprio lavoro. Invece dei server, utilizza il P2P per inviare comunicazioni SSH crittografate per coordinare gli attacchi su macchine diverse, aggiornarsi e garantire che il lavoro sia distribuito uniformemente su tutta la rete.

Sebbene sia senza file, Fritzfrog crea una backdoor utilizzando una chiave SSH pubblica per consentire l'accesso in futuro. Le informazioni di accesso per le macchine compromesse vengono quindi salvate sulla rete.

Password complesse e autenticazione con chiave pubblica offrono protezione contro questo attacco. Anche cambiare la porta SSH o disattivare l'accesso SSH se non la stai utilizzando è una buona idea.

FinSpy

FinFisher vende FinSpy, associato allo spionaggio di giornalisti e attivisti, come soluzione di sorveglianza standard per i governi. Visto in precedenza su Windows e Android, Amnesty International ha scoperto una versione Linux del malware nel novembre 2019.

FinSpy consente l'intercettazione del traffico, l'accesso a dati privati ​​e la registrazione di video e audio da dispositivi infetti.

È venuto a conoscenza del pubblico nel 2011 quando i manifestanti hanno trovato un contratto per l'acquisto di FinSpy negli uffici del brutale servizio di sicurezza egiziano dopo il rovesciamento del presidente Mubarak.

È ora che gli utenti Linux inizino a prendere sul serio la sicurezza?

Anche se gli utenti Linux potrebbero non essere vulnerabili a tante minacce alla sicurezza come gli utenti Windows, non ci sono dubbi il valore e il volume dei dati detenuti dai sistemi Linux stanno rendendo la piattaforma più attraente per i criminali informatici.

Se l'FBI e la NSA sono preoccupati, allora i commercianti individuali o le piccole imprese che eseguono Linux dovrebbero iniziare a pagare di più attenzione alla sicurezza subito se si vuole evitare di diventare danni collaterali durante futuri attacchi su grandi dimensioni organizzazioni.

Ecco i nostri suggerimenti per proteggerti dall'elenco crescente di malware Linux:

  • Non eseguire binari o script da fonti sconosciute.
  • Installa il software di sicurezza come programmi antivirus e rilevatori di rootkit.
  • Fai attenzione quando installi programmi usando comandi come curl. Non eseguire il comando fino a quando non avrai compreso appieno cosa farà, inizia la tua ricerca dalla riga di comando qui.
  • Scopri come configurare correttamente il tuo firewall. Dovrebbe registrare tutte le attività di rete, bloccare le porte inutilizzate e generalmente mantenere l'esposizione alla rete al minimo necessario.
  • Aggiorna regolarmente il tuo sistema; impostare gli aggiornamenti di sicurezza da installare automaticamente.
  • Assicurati che i tuoi aggiornamenti vengano inviati tramite connessioni crittografate.
  • Abilita un sistema di autenticazione basato su chiave per SSH e password per proteggere le chiavi.
  • Usa l'autenticazione a due fattori (2FA) e conserva le chiavi su dispositivi esterni come Yubikey.
  • Controlla i registri per le prove di attacchi.
E-mail
5 strumenti di sicurezza che dovresti avere su Linux

Fin dall'inizio, Linux è abbastanza sicuro, soprattutto se paragonato ad altri sistemi operativi come macOS o Windows. Anche così, è bene costruire su questo, a partire da questi strumenti.

Argomenti correlati
  • Linux
  • Linux
  • Malware
Circa l'autore
Joe McCrossan (7 articoli pubblicati)

Joe McCrossan è uno scrittore freelance, volontario risolutore di problemi tecnologici e riparatore di biciclette dilettante. Gli piacciono Linux, l'open source e tutti i tipi di innovazione magica.

Altro da Joe McCrossan

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Ancora un passo…!

Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.

.