APT en servidores Linux
Los grupos de amenazas persistentes avanzadas ponen el foco en servidores y equipos Linux.
Muchas organizaciones eligen Linux para los servidores y sistemas de importancia estratégica, en gran parte porque este sistema operativo se considera más seguro y menos propenso a las ciberamenazas que el más que conocido Windows. Aunque puede que este sea el caso de los ataques masivos de malware, no está tan claro cuando se trata de amenazas persistentes avanzadas (APT). Los investigadores de Kaspersky han identificado una tendencia en la que cada vez más actores de ciberamenazas ejecutan ataques dirigidos contra dispositivos basados en Linux y desarrollan herramientas más centradas en Linux.
A lo largo de los últimos ocho años, se han detectado más de una docena de actores APT que utilizan malware Linux o algunos módulos basados en Linux. Entre ellos, se incluyen grupos de gran notoriedad como Barium, Sofacy, the Lamberts o Equation, así como campañas más recientes como LightSpy de TwoSail Junk, y WellMess. La diversificación de su arsenal con herramientas Linux permite a los actores de amenazas realizar operaciones de mayor alcance y eficacia.
Existe una tendencia significativa en muchos países a utilizar Linux como entorno de escritorio por parte de las grandes empresas y las administraciones públicas, lo que ha incentivado a los actores de amenazas a desarrollar malware para esta plataforma. El mito de que es poco probable que Linux, por su menor popularidad, sea el blanco de programas maliciosos genera más ciberriesgos. Aunque los ataques dirigidos a sistemas Linux siguen siendo poco comunes, no cabe duda de que existe malware diseñado para atacar estos sistemas, entre ellos webshells, puertas traseras, rootkits o incluso exploits diseñados a medida. Asimismo, la poca frecuencia de este tipo de ataques es engañosa porque un ataque exitoso a un servidor Linux a menudo tiene consecuencias significativas. Por ejemplo, puede permitir a los atacantes no sólo acceder al dispositivo infectado, sino también a endpoints que ejecutan Windows o macOS, proporcionando así un acceso más amplio a los atacantes que podría pasar desapercibido.
Por ejemplo, Turla -un prolífico grupo de habla rusa conocido por sus tácticas de exfiltración encubierta, ha cambiado de forma significativa su conjunto de herramientas con el paso de los años, incluyendo el uso de puertas traseras de Linux. Según nuestros datos de telemetría, una nueva modificación de la puerta trasera dePenguin_x64 de Linux, reportada a principios de 2020, habría infectado docenas de servidores en Europa y Estados Unidos, continuando estos ataques por lo menos hasta el pasado mes de julio.
Otro ejemplo es Lazarus, un grupo APT de habla coreana, que sigue diversificando su conjunto de herramientas y desarrollando malware para sistemas diferentes a Windows. Kaspersky ha informado recientemente sobre un framework multiplataforma conocido como MATA, y en junio de 2020 los investigadores analizaron nuevas muestras vinculadas a las campañas ‘Operation AppleJeus’ y ‘TangoDaiwbo” de Lazarus, utilizadas en ataques financieros y de ciberespionaje. Las muestras estudiadas incluían malware de Linux.
“La tendencia de mejorar las herramientas APT ha sido identificada por nuestros expertos muchas veces en el pasado, y las herramientas centradas en Linux no son una excepción. Con el fin de hacer más seguros sus sistemas, los departamentos de TI y seguridad utilizan Linux más a menudo que antes. Los actores de amenazas responden a esta realidad con la creación de sofisticadas herramientas capaces de penetrar en este tipo de sistemas. Recomendamos a los expertos en ciberseguridad a que presten atención a esta tendencia implementando medidas adicionales para proteger sus equipos y servidores”, ha comentado Yury Namestnikov, jefe del equipo global del equipo de análisis e investigación global de Kaspersky (GReAT) en Rusia.
Para evitar ser víctima de un ataque dirigido a Linux por un actor de ciberamenazas conocido o desconocido, los investigadores de Kaspersky recomiendan adoptar las siguientes medidas:
• Mantener un listado de fuentes de software de confianza y evitar el uso de canales de actualización no cifrados
• No ejecutar binarios o scripts de fuentes que no sean de confianza. Algunos métodos muy publicitados para instalar programas mediante comandos como “curl https://install-url | sudo bash” son una pesadilla para la seguridad
• Asegurarse de que el procedimiento de actualización es eficaz y configura actualizaciones de seguridad automáticas
• Dedicar tiempo a configurar el cortafuegos de manera correcta: asegurarse de que registra la actividad de la red, bloquea todos los puertos que no utilizas y minimiza su huella en la red
• Utilizar autenticación SSH basada en claves y proteger las claves con contraseñas
• Utilizar 2FA (autenticación de doble factor) y almacenar las claves sensibles en dispositivos token externos (ej. Yubikey)
• Usar una toma de red fuera de banda para monitorizar y analizar de forma independiente las comunicaciones de red de los sistemas Linux
• Mantener la integridad de los archivos ejecutables del sistema y revisar regularmente los cambios de los archivos de configuración
• Prepararse ante la posibilidad de ataques internos/físicos: utilizar la encriptación completa del disco, inicio seguro/ de confianza, y utilizar una cinta de seguridad a prueba de manipulaciones en el hardware crítico
• Auditar el sistema y comprobar los registros de los indicadores de ataque
• Ejecutar pruebas de penetración en la configuración Linux
• Utilizar una solución de seguridad dedicada con protección Linux.