BlackBerry: Çinli siber suçlular zayıf savunmaya sahip yüksek değerli Linux sunucularını hedefliyor

Beş APT grubu, güvenlik ekiplerinden fazla ilgi görmeyen bir ağ bileşeninden yararlanmak için uzaktan erişim truva atları kullanıyor.

BlackBerry tarafından hazırlanan yeni bir rapora göre, Linux kötü amaçlı yazılım gerçek ve Advanced Persistent Threat (APT) grupları en az sekiz yıldır bu sunuculara kritik sunuculara sızıyor.

İçinde "RAT'ların On Yılı: Linux, Windows ve Android'i Hedefleyen Platformlar Arası APT Casusluk Saldırıları, "güvenlik araştırmacıları bu grupların dünya çapında ve tüm endüstrilerdeki şirketlere basit siber suçlardan tam gelişmiş ekonomik casusluğa kadar değişen hedeflerle saldırdıklarını keşfettiler.

RAT raporunda beş APT grubunun Çin hükümeti ve siber suçluların Linux sunucularına erişmek ve bu sunuculara erişim sağlamak için kullandığı uzaktan erişim truva atları (RAT) ile nasıl çalıştığı açıklanmaktadır. Rapora göre, gruplar Linux sunucularını hedeflemek ve neredeyse on yıl boyunca nispeten fark edilmeden kalmak için WINNTI tarzı araç kullanıyorlardı.

Bu gruplar casusluk ve fikri mülkiyet hırsızlığı için Red Hat Enterprise, CentOS ve Ubuntu Linux ortamlarını hedefliyor. İncelenen APT grupları arasında orijinal WINNTI GROUP, PASSCV, BRONZ BİRLİĞİ, CASPER (KURŞUN) ve yeni tanımlanmış bir grup BlackBerry araştırmacısı WLNXSPLINTER olarak izliyor.

BlackBerry araştırmacıları, tercih ettikleri araçlar, taktikler ve prosedürler arasındaki farklı benzerlikler göz önüne alındığında, beş grubun da birlikte çalıştığını düşünüyor.

GÖRMEK: Siber güvenlik: Taktik takalım (ücretsiz PDF)

BlackBerry baş ürün sorumlusu Eric Cornelius, raporun CISO'ları ve güvenlik ekiplerini geçmişte atılan potansiyel tehditleri yeniden gözden geçirmeleri için motive edeceğini umduğunu söyledi.

"Günümüzde çoğu işletme, olması gerektiği kadar Linux'a odaklanmamıştır." Dedi. "Linux kötü amaçlı yazılım bir şeydir ve uzun süredir devam ediyor."

RAT raporunda ağ yöneticilerinin ve güvenlik analistlerinin Linux sunucularında neler olduğunu görmek için kullanabileceği çok sayıda gösterge bulunmaktadır.

Linux sunucuları: Her zaman açık ve kötü korunmuş

RAT raporu, Linux kullanan tüm kuruluşları listeleyerek bu enfeksiyonların riskini göstermektedir: New York, Londra ve Tokyo'daki borsalar; Google, Yahoo ve Amazon dahil olmak üzere neredeyse tüm büyük teknoloji ve e-ticaret devleri buna bağlıdır; çoğu ABD devlet kurumu ve Savunma Bakanlığı; neredeyse bir milyon en iyi web sitesinin tamamı; Tüm web sunucularının% 75'i; Dünyanın en gelişmiş süper bilgisayarlarının% 98'i; ve tüm bulut sunucularının% 75'inden fazlası.

Rapora göre, yeni keşfedilen Linux kötü amaçlı yazılım araç seti, yürütülebilir dosyaların algılanmasını son derece zor hale getiren iki çekirdek düzeyinde kök setini içeriyordu ve bu da birçok kuruluşun bir süredir enfekte olma olasılığını arttırdı. Rapor, saldırıların, araç setinin, rootkit'lerin, diğer kötü amaçlı yazılımların ve ilgili altyapının analizini sağlar.

Cornelius, bu sunucuların kötü aktörler için yüksek kullanılabilirlik ve yüksek yedekliliğe sahip oldukları için iyi bir yer olduğunu söyledi.

"Güvenlik endüstrisi Linux'u çok fazla önemsemiyor çünkü uç nokta başına mal satıyorlar ve Linux'un sadece% 2 pazar payı var." "Linux çalıştıran makineler olağanüstü derecede önemli cihazlar ancak azınlıktalar."

Cornelius, bu enfeksiyonlarla üç nedenden dolayı rootkit düzeyinde başa çıkmanın özellikle zor olduğunu söyledi. Birincisi, bir şirketin altyapısının bu bileşeni çok az dikkat çekiyor ve çok nadiren bir savunmaya sahip. İkincisi, güvenlik analistleri kullanıcı alanında etkinlik aramak için daha fazla zaman harcarlar. Son olarak, bir güvenlik analisti bir Linux sunucusundaki bir sorunu ele almak zorunda kaldığında, muhtemelen başka bir kişi hizmeti kurmuş ve bir şeyi kaldırmanız bir seçenek değildir.

"Aptalca bir şey yaşayabileceğinizden şüpheleniyorsunuz, ancak o makineyi tuğla yapan bir şey yaparsanız ve şirkete yüz binlerce dolara mal olan kişi sizsiniz" dedi.

Rapor yazarları ayrıca bu arka odaların hem dahili hem de dahili
grupların her ikisinin de sunuculara saldırdığını belirten harici IP adresleri
İnternet'e ve hedef kuruluşun dışına ulaşan web sunucularına bağlanmasını önlemek için kasıtlı olarak bölümlere ayrılmıştır.

"Güvenlik ekipleri saldırganların bir makineden diğerine giden trafiği tünelemek ve daha sonra dışarı çıkmak için zaman ayırmasını beklemiyor" dedi.

Rapora göre, yalnızca dahili sunucuların bulaşması, saldırganların normalde bu tür kasalarda tutulan "taç mücevher tipi" verilerinden yararlanmada başarılı olduklarını veya başka yolların bulunması durumunda bir yedek erişim noktası oluşturduklarını gösteriyor. ve engellendi.

Cornelius, bir şirket ağında gizli erişim kurmanın zaman aldığını unutmanın kolay olduğunu söyledi.

"Bu şeyler, bir dayanak kazanmaktan keşfetmeye, her şeyin nerede olduğunu bulmaya kadar yaklaşık 10 ay sürüyor" dedi.

Ayrıca, bir şirket bir saldırıyı keşfetse bile, siber suçluların sessizleştiğini, yani güvenlik liderlerinin bazen etkinlik eksikliğinin varsayıldığı zaman tehdidin ortadan kalktığı anlamına geldiğini söyledi.

Çin ve açık kaynak kodlu

Raporda, "Çin yalnızca açık kaynak toplama için diğer ülkelere göre çok daha fazla çaba harcamakla kalmıyor, aynı zamanda 'arka uç' bileşenleri – analiz, müşteri etkileşimi ve koleksiyonculara geri bildirim – aynı zamanda çok daha büyük bir rol oynuyor. ilerlemesi yenilikten ziyade adaptasyona bağlı ulus. "

Linux için zayıf güvenlik çözümü kapsamının ve yüksek düzeyde uyarlanmış, karmaşık kötü amaçlı yazılımın birleşimi, büyük ölçüde – tamamen olmasa da – yıllarca fark edilmeyen bir dizi olumsuz araçla sonuçlandı.

Cornelius ayrıca açık kaynaklı yazılım kullanmanın siber suçlular için anlamlı olduğunu, çünkü başka birinin yapmış olduğu işleri kullanabildiklerini ve daha makul bir inkar edilebilirlik bulunduğunu söyledi.

“İnsanlar bulduğunda, açık kaynak çerçevesinin ötesinde herhangi bir atıf bulmakta zorlanacaklar” dedi. "Yazılımı baştan sona özel olarak geliştirdiğinizde, içine çok fazla şey yüklersiniz, bu da anlamlı bir ilişkilendirmeye izin verir."

Cornelius, Linux savunmasını piyasaya sürmek için bazı nüanslı zorluklar olduğunu söyledi.

Yetkili, "Güvenlik ekipleri yetersiz finanse edildiğinden ve yetersiz olduğundan, muhtemelen Linux için ısmarlama çözümler geliştirmeyecekler." Dedi.

Cornelius ayrıca Windows çalıştıran herkesin aynı çekirdeğe sahip olduğuna dikkat çekti, ancak Linux'un her dağıtımında bunu biraz farklı yaptı.

Adware kod imzalama sertifikaları

Rapor ayrıca, saldırganların gerçek güvenlik tehditlerinin sürekli reklam yazılımı uyarıları akışında gizlenmesine izin vereceğini umdukları bir taktik olan adware kod imzalama sertifikalarını kullanan saldırıları da analiz eder. Raporda, adware kod imzalama sertifikalarının eşlik ettiği kötü amaçlı yazılımların birden çok örneği incelenir.

Cornelius, kötü amaçlı yazılımları reklam sertifikalarıyla imzalamanın akıllıca bir seçim olduğunu söyledi. Güvenlik uyarılarının günlük salıverilmesinin ortasında, bazı uyarılar gerçek güvenlik risklerini gösterir, bazıları yanlış pozitiflerdir ve bazıları reklam sertifikaları gibi ortada düşer.

Cornelius, “Yaptıkları şey gerçekten gerçekten kötü bir şey yaratmak ve onu sadece bir tür kötü olarak atlatmaya çalışmak” dedi.

RAT raporu yazarları, kötü amaçlı aktörlerin reklam yazılımlarının arkasına saklanarak doğrudan
güvenlik analistlerinin psikolojisi ve metodolojisi,
onların varsayımları çünkü "uyarı yorgunluğu gerçek ve adware sıkıcı."

Yazarlar, analizden kaçınmak ve fark edilmesi zor bir yanlış yönlendirme katmanı oluşturmak için diğer ulus devlet aktörleri tarafından kullanılan bu teknikleri gördüler. Rapor, ekte güvenliği ihlal edilmiş reklam yazılımı ve greyware kod imzalama sertifikalarının ve ilişkili kötü amaçlı ikili dosyaların bir listesini içerir.

Ayrıca bakınız

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/04/06/07487ace-8cd7-445c-ad04-a771c2eebcb5/resize/770x/5afc02905adff4b22f32f1198f3c50af/blackberryratsreport" " _blank "data-component =" modalEnlargeImage "data-headline ="

BlackBerry araştırmacıları, Linux kıymık hacker gruplarının toplu olarak WINNTILNX araç seti olarak adlandırılan çeşitli araçlar geliştirdiğini ve dağıttığını keşfetti. & Nbsp;

"data-credit =" Resim: BlackBerry "rel =" noopener noreferrer nofollow ">blackberryratsreport.jpg "data-original =" https://tr4.cbsistatic.com/hub/i/r/2020/04/06/07487ace-8cd7-445c-ad04-a771c2eebcb5/resize/770x/5afc02905adff4b22f32f1198f3c50brejblack.berry

BlackBerry araştırmacıları, Linux kıymık hacker gruplarının toplu olarak WINNTILNX araç seti olarak adlandırılan çeşitli araçlar geliştirdiğini ve dağıttığını keşfetti.

Görüntü: BlackBerry

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*