İyi belgelenmiş iki Çin arka kapısı yakın zamanda Linux sistemlerinde çalışacak şekilde değiştirildi.
Gelişmiş kalıcı tehdit (APT) “Gelsemium” Artık on yıl öncesine ait ve Wolfsbane ve Firewood grubuna bağlı yeni kötü amaçlı yazılımların kökenleri 2005’e kadar uzanabiliyor. Gelsemium, tarihi boyunca Windows sistemlerinden bilgi toplamaya odaklandı. Şimdi, takımını ayarladı Linux ortamlarında da aynı derecede etkili bir şekilde çalışabilmek için.
Uzmanlara göre bu, uzun süredir gelişen bir trendin yalnızca en son tezahürü.
Sectigo’nun kıdemli araştırmacısı Jason Soroko, “Linux kötü amaçlı yazılım ortamı kesinlikle hızlanıyor” diyor. “Kuruluşların hem kurum içi hem de buluttaki arka ofis sunucu ihtiyaçları için büyük ölçüde Linux’u benimsedikleri göz önüne alındığında, bu artış mantıklı. Rakipler, erişimlerini en üst düzeye çıkarmak için platformlar arası kötü amaçlı yazılımlar geliştiriyor.”
Kurtboğanı ve Yakacak Odun Arka Kapıları
Wolsbane adı verilen ilk yeni arka kapının halka açık ilk örneği 6 Mart 2023’te Tayvan’dan VirusTotal’a yüklendi ve daha sonraki yüklemeler Filipinler ve Singapur’dan geldi (tarihsel olarak Gelsemium, Orta Doğu ve Doğu Asya’daki varlıkları hedef alıyordu) .
Bağlamsal kanıtlar, kötü amaçlı yazılımın yazarlarının, halka açık Apache Tomcat sunucularına erişmek için Java Web uygulamalarındaki güvenlik açıklarından yararlandığını gösteriyor. İçeriye daha derinlemesine bakıldığında, Gelsemium tarafından kullanıldığı bilinen bir Windows arka kapısı olan Gelsevirine ile açık bir örtüşme olduğu ortaya çıkıyor. Wolfsbane kötü amaçlı yazılımı özünde, çeşitli kötü amaçlı etkinliklerini gizlemek için değiştirilmiş bir Beurk Experimental Unix RootKit içeren Gelsevirine’in bir Linux bağlantı noktasıydı.
Wolfsbane’in yanı sıra, kesin olarak Gelsemium’a atfedilemeyecek olsa da, Linux üzerinden taşınan ikinci bir arka kapı olan Firewood da vardı. Çeşitli ve tipik arka kapı yeteneklerine ek olarak, çekirdek düzeyinde bir rootkite sahiptir.
En ilginci, Yakacak Odun, ilk olarak Ocak 2005’te derlenen bir programa kadar nesiller öncesine uzanan bir arka kapı şubesi olan “Project Wood”un en son evrimi gibi görünüyor. Project Wood’un Yakacak Odun öncesi en son tezahürü, NSPX30bu yılın başlarında rapor edildi.
Linux Siber Tehditlerindeki Artışı Ne Açıklıyor?
Siber tehditler her yıl artıyor ancak özellikle Linux tabanlı tehditlerdeki artış dikkat çekiyor.
Satıcılar en az 2020’den beri takip ediyor çift- Ve üç haneli Linux saldırılarında yıldan yıla artış yaşanıyor. Elastic Security, yıllık “Küresel Tehdit Raporu”nda düzenli olarak Linux tehdit ortamının macOS’u çok geride bıraktığını ve saldırı hacmi açısından Windows’a daha çok benzediğini tespit etti. Örneğin 2023’te şunu buldu: Uç nokta saldırılarının %54’ü Linux tabanlı cihazları etkilediWindows için bu oran yalnızca %39’du.
Elastic’in tehdit ve güvenlik istihbaratı başkanı Jake King’e göre, son 12 ayda kötü amaçlı yazılım bulaşmalarının yaklaşık %32’si Linux’u hedef aldı. “Sürekli olarak artarken, daha büyük hacimlerde ve bazı durumlarda daha karmaşık düzeyde saldırılar görüyoruz. XZ/Liblzma arka kapısı Araştırmacılar tarafından bu yılın başlarında keşfedilen bu durum, rakiplerin muhtemelen çeşitli nedenlerden dolayı Linux ana bilgisayarlarını tehlikeye atma arzusunu gösteriyor ve tedarik zincirinden taviz verecek kadar karmaşık bir hal alıyor” diyor.
Linux’a yönelik artan tehditler, Soroko’nun ima ettiği gibi, Linux’un kurumsal ortamlarda giderek daha fazla benimsenmesine veya Windows güvenliğinin genel olarak iyileşen durumuna (ESET’in blog gönderisinde yaptığı açıklamaya) veya daha da basit bir açıklamaya atfedilebilir.
King, “Gözlemlerin artmasının nedenlerinden biri her zaman rakip odağın değişmesini hedefleyebilir, ancak aynı zamanda Linux ana bilgisayarları için güvenlik araçları ve telemetrinin, saldırıların daha büyük bir bağlam düzeyiyle daha erken tanımlanacağı bir hızda gelişmesi de muhtemeldir.” öneriyor. Örneğin, “Bu yıl tehdit gözlemlerinde giderek artan bir trend, düşmanların özellikle Linux’a özgü güvenlik araçlarını atlatmaya veya üçüncü taraf güvenlik araçlarını devre dışı bırakmaya çalıştıklarını gösteren, Linux için Bozulmuş Savunmalar oldu. Bu önemlidir, çünkü bu durumu açığa çıkardığımızı gösterir.” yıllar önce tespit edilemeyecek birçok saldırı.”