لینوکس در یک دهه اخیر؛ آماج حملات APTها

 کمیته رکن چهارم – در حال حاضر APTها بیشتر از هر زمان دیگری در حال هدف قرار دادن سیستم‌های لینوکسی هستند. در بیشتر این حملات، یک کاربر احراز هویت نشده می­‌تواند برای مدت زمان طولانی به صورت ناشناس امکان دسترسی به سیستم ها و شبکه را داشته باشد. هدف از اجرای این حملات علاوه بر وارد کردن آسیب به سازما‌ن‌­ها و انجام اعمال خرابکارانه، سرقت اطلاعات آنها است.

در این مطلب، نگاهی به حملات APT در سیستم عامل لینوکس در یک دهه اخیر خواهیم داشت تا به درک بهتری از روند تغییر و تحول آنها دست یابیم.

افزایش حملات به لینوکس

در حالی که میزان استفاده از سیستم‌ های لینوکسی افزایش یافته و لینوکس تبدیل به یکی از پرکاربردترین سیستم‌ عامل­‌های جهان برای تجهیزات اینترنت اشیا، سرورهای وب و سرویس دهنده های ابری شده است، جامعه محققان امنیت سایبری شاهد افزایش تعداد کمپین‌های فعالی است که سیستم‌های لینوکسی را مورد تهاجم قرار می‌دهند.

میزان شناسایی بدافزارهای جدید و پیچیده در این سیستم عامل که متفاوت با تهدیدات سنتی هستند (مثل بات‌نت‌های DDoS و کریپتوماینرها) نسبت به گذشته افزایش زیادی یافته است. مهاجمان از زیرساخت های فناوری اطلاعات برای تحقق اهداف شان سوءاستفاده کرده و برای انجام این کار؛ یا ابزارهای ویندوزی را به محیط لینوکسی منتقل نموده یا ابزارهای جدیدی طراحی می‌کنند که در هر دو پلتفرم قابل استفاده باشند.

نگاهی به حملات APT در لینوکس، در یک دهه اخیر

در یک دهه سال گذشته، محققان چندین کمپین APT بزرگ که سیستم‌های لینوکسی را هدف گرفته و بدافزارهای خاصی که برای انجام عملیات های جاسوسی طراحی شده بودند، شناسایی کردند. بیشتر این ابزارها و کمپین‌ها به گروه‌های APT شناخته شده نسبت داده می‌شوند که در حال طراحی ابزارهایی جدید برای هدف قرار دادن این سیستم عامل بوده و پس از شناسایی نیز به سرعت بدافزارشان را به روزرسانی می کنند.

در ماه های اخیر میزان کشف چنین حوادثی بیشتر شده است. علاوه بر ابزارهای جاسوسی که به تازگی شناسایی شده اند (مثل HiddenWasp، Dacls و MessageTap) ابزارهای قدیمی‌تری همچون Penquin Turla نیز در قالب نسخه‌های جدید دوباره ظهور پیدا کرده اند. در یک مورد مهم دیگر، کمپینی با سابقه فعالیت ۱۰ ساله شناسایی شد که به گروه Winniti در چین نسبت داده می‌شود. مهاجمان در این حمله از تروجان‌های دسترسی از راه دور چندپلتفرمی برای هدف قرار دادن سیستم عامل های لینوکسی، ویندوزی و اندرویدی استفاده می‌کردند.

بیشتر حملات APT لینوکسی که در ده سال گذشته شناسایی شده اند به چهار کشور چین، روسیه، کره شمالی و آمریکا نسبت داده می‌شوند. همچنین با توجه به اینکه هنوز هم شاهد شناسایی کمپین­‌هایی هستیم که از ابزارهای جدید و ارتقایافته برای انجام حملات خود استفاده می کنند بنابراین باید این کمپین­‌ها را همچنان فعال در نظر گرفت.

بدافزارهایی که از لینوکس پشتیبانی می‌کنند!

معمولاً بدافزارهای مورد استفاده در این حملات یا چندپلتفرمی بوده یا به صورت مستقیم از یک بدافزار ویندوزی به بدافزاری لینوکسی تبدیل شده اند. استفاده از ابزارهای آماده مخصوص ویندوز برای مهاجمان ساده‌تر و سریع‌تر از نوشتن یک بدافزار از اول است.

از آن­جا که دائماً شاهد ظهور کدهایی در بدافزارهای لینوکسی هستیم که پیش‌تر در نسخه های ویندوزی مشاهده شده بودند بنابراین این موضوع در چشم‌انداز تهدیدات لینوکس دیگر تبدیل به امری متداول شده است. استفاده از زبان برنامه نویسی Golang برای توسعه بدافزارهای چندپلتفرمی که سیستم عامل های ویندوز و لینوکس را همزمان هدف حملات خود قرار می دهند، یکی از دلایل رونق گرفتن این روند رو به رشد است.

Carbanak یکی از بزرگترین گروه‌های جرایم سایبری که تاکنون شناسایی شده، از جمله گروه‌هایی است که ابزارهای خودش را از ویندوز به سمت لینوکس منتقل کرده است. هیچ یک از آنتی ویروس های وب سایت VirusTotal که به صورت آنلاین و رایگان بدافزارها را شناسایی می ­کنند، قادر به تشخیص این بدافزار نبودند. قابلیت شناسایی استفاده از کدهای تکراری در Intezer Analyze که بدافزارها را طبقه­‌بندی می ­کند توانسته اشتراک این کد را با یک بدافزار ویندوزی از گروه Carbanak که در سال ۲۰۱۹ شناسایی شد، مشخص نماید.

APT29 هم یکی دیگر از گروه‌هایی است که از زبان Golang برای نوشتن بدافزارهای خود استفاده می‌کند. این گروه روسی در تابستان سال ۲۰۲۰ میلادی متهم به تلاش برای سرقت نتایج مطالعات واکسن کرونا شد. با توجه به اینکه بخشی از آن کد در علائم نفوذ ذکر شده در گزارش مرکز امنیت ملی آمریکا وجود داشت به همین خاطر، Intezer Analyze توانست این نسخه لینوکسی بدافزار WellMail را از گروه APT29 شناسایی کند.

کلام پایانی

حملات APTها در سیستم‌ عامل لینوکس رو به افزایش هستند. بعضی از مهاجمان سایبری دولتی هم به استفاده کنندگان از این بدافزارها پیوسته اند. چنین انتظار می‌رود که با گذشت زمان، میزان پیچیدگی و تعداد این حملات افزایش یابد. تشخیص حملات APT ممکن است کار سختی باشد. یکی از روش‌های اثبات شده برای شناسایی این حملات، تکرار کد است که می‌تواند تهدیدات لینوکسی جدید را شناسایی کند.

کارشناسان امنیت سایبری باید دید خودشان را نسبت به سیستم عامل های لینوکسی افزایش داده و به این نکته توجه داشته باشند که برای شناسایی چنین تهدیداتی باید از راهکاری استفاده کنند که به صورت ویژه برای لینوکس طراحی شده باشد. از این منبع که هر هفته جدیدترین کدهای بدافزارهای لینوکسی را منتشر می‌کند می ­توانید برای شروع استفاده کنید. همچنین برای حفاظت از سیستم‌های سازمانی تان می ­توانید این کدها را به لیست سیاه فایروال هایتان اضافه نمایید.

منبع: فراست