كاسبرسكي: عصابات التهديدات المتقدمة تنشط في استهداف أنظمة لينكس

قالت شركة كاسبرسكي اليوم أن العديد من الشركات تختار النظام “لينكس” Linux للخوادم والأنظمة ذات الأهمية الاستراتيجية، لأسباب يأتي في مقدمتها أننظام التشغيل هذا يُعتبر أكثر أمنًا وأقل عُرضة للتهديدات الرقمية من نظيره الأكثر شيوعًا “ويندوز” Windows.

وربما يصحّ هذا الاعتبار في حالة الهجمات الجماعية بالبرمجيات الخبيثة، لكنه ليس كذلك تمامًا عندما يتعلق بالتهديدات المتقدمة المستمرة (APTs).

وقد استطاع باحثو كاسبرسكي أن يحددوا توجّه المزيد من الجهات التخريبية نحو تنفيذ هجمات موجّهة ضد الأجهزة العاملة بأنظمة Linux، معحرص تلك الجهات على تطوير المزيد من الأدوات التي تساعدها في الوصول إلى غايتها هذه.

ولوحظ أن أكثر من اثنتي عشرة جهة تخريبية من الجهات التي تقف وراء التهديدات المتقدمة المستمرة، ظلّت على مدار السنوات الثماني الماضية تستخدم برمجيات خبيثة أو بعض الوحدات المستندة إلى النظامLinuxفي استهداف الأجهزة العاملة بهذا النظام.

وتشمل تلك الجهات بعض العصابات سيئة السمعة مثل Barium وSofacy وLamberts وEquation، بجانب حملات تخريبية أحدث مثل LightSpyالتي نظمتها TwoSail JunkوWellMess.

وتلجأ هذه الجهات إلى تعزيز ترساناتها بأدوات Linuxللتمكّن من إجراء عملياتها التخريبيةبفاعلية أكبر وعلى مدى أوسع.

كاسبرسكي: توجّه متنامٍ في الشركات الكبيرة والجهات الحكومية نحو استخدام Linux

وثمّة توجّه متنامٍ في الشركات الكبيرة والجهات الحكومية في العديد من البلدان نحو استخدام Linux في الأجهزة المكتبية، ما دفع بالجهات التخريبية إلى مواكبة هذا التوجّه بتطوير برمجيات خبيثة تستهدف هذا النظام.

لكن استبعاد البعض لاحتمالات استهداف النظام Linux ببرمجيات خبيثة، باعتباره أقل شيوعًا، يستجلب مخاطر أمنية إضافية للمنشآت.

ففي حين ما زالت الهجمات الموجّهة إلى الأنظمة المستندة على Linux غير شائعة، فهناك برمجيات خبيثة مصممة لها، بينها شيفرات ويب للتحكم عن بُعد (webshells) ومنافذ خلفية وأطقم أدوات وحتى أدوات استغلال معدلة.

وعلاوة على ذلك، لا تعني قلّة الهجمات انخفاض مستويات الخطر، فالاختراق الناجح لخادم يعمل بنظام Linux غالبًا ما يؤدي إلى عواقب وخيمة، تتضمن قدرة المهاجمين على الوصول إلى الجهاز المصاب وحتى إلى الأجهزة الطرفية التي تعمل بأنظمة أخرى مثل Windows أو macOS، ما يعني هجومًا أوسع مدى قد يمرّ دون أن يلاحظه أحد.

وكانت، على سبيل المثال،عصابةTurla النشطة والناطقة بالروسية والتي تشتهر بتكتيكات التسلل السرية،قد أجرت تغييرات جذرية في مجموعة أدواتها التخريبية على مر السنين، شملت استخدام المنافذ الخلفية لاختراق أنظمة Linux.

وجرى الإبلاغ عن أحدث تلك التغييرات، والتي أجريت على المنفذ الخلفي Penguin_x64 Linux، في وقت سابق من العام 2020.

ووفقًا لبيانات الشركة المجمعة عن بُعد، فإن هذا المنفذ المعدل تمكّن من إصابة عشرات الخوادم في أوروبا والولايات المتحدة في شهر يوليو الماضي وحده.

وتُعتبر Lazarus، عصابة التهديدات المتقدمة الناطقة بالكورية، مثالًا آخر على ذلك، إذتواصل تنويع مجموعة أدواتها وتطوير برمجيات خبيثة تستهدف أنظمة غير Windows.

وأبلغت Kaspersky حديثًا عن نظام متعدد المنصات يُسمى MATA، وفي يونيو الماضي، حلّل باحثون عينات جديدة مرتبطة بحملتي Operation AppleJeus وTangoDaiwbo اللتين تستخدمهما Lazarus في شنّ هجمات مالية وتجسسية. وقد تضمنت العينات التي خضعت للتحليل برمجيات خبيثة مصممة للنظام Linux.

وقال يوري ناميستنيكوف رئيس فريق البحث والتحليل العالمي في روسيا لدى كاسبرسكي، إن خبراء الشركة تمكنوا عدة مرات في الماضيمن تحديد التوجهات المتمثلة بتحسين مجموعات الأدوات المخصصة لحملات APT، مشيرًا إلى أن هذا الأمر لم يستثنِ الأدوات التي تركّز على Linux.

وأضاف: “تتجه أقسام تقنية المعلومات والأمن الرقمي نحو Linux أكثر من ذي قبل بهدف تأمين أنظمتها، لكنجهات التهديد تحرص على مواكبة هذا الأمر بإنشاء أدوات متطورة قادرة على اختراق الأنظمة المحكمة.

ولهذا فإننا ننصح خبراء الأمن الرقمي بأخذ هذه التوجهات في الاعتبار وتنفيذ تدابير إضافية لحماية الخوادم والأجهزة في شركاتهم”.

ويوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية، من أجل تجنّب الوقوع ضحية لهجوم موجّه على Linux من قبل جهة تهديد معروفة أو مجهولة:

الاحتفاظ بقائمة من مصادر البرمجيات الموثوق بها وتجنّب استخدام قنوات التحديث غير المشفرة.

تجنُّب تشغيل الشيفرات والنصوص البرمجية من مصادر غير موثوق بها؛ فالطرق المعلن عنها على نطاق واسع لتثبيت البرمجيات بأوامر برمجية مثلcurl https://install-url | sudo bashتشكل كابوسًا أمنيًا.

التأكد من أن إجراءات تحديث البرمجيات والتطبيقات فعّالة، مع الحرص علىتفعيل الإعداداتالتلقائية للتحديثات الأمنية.

إعداد جدار حماية سليم، والتأكد من أنه يسجل نشاط الشبكة ويحظر جميع المنافذ غير المستخدمة، ويقلّل أثر الشبكة.

استخدام مصادقة SSH القائمة على المفاتيح، وحماية المفاتيح بكلمات مرور.

استخدام المصادقة الثنائية وتخزين المفاتيح الحساسة على أجهزة خارجية لتوليد الرموز (مثل Yubikey).

استخدام عقدة شبكية منفصلة خارج نطاق الشبكة لمراقبة الاتصالات نظام Linux المارّة عبر الشبكة وتحليلهابشكل مستقل.

الحفاظ على سلامة ملفات النظام القابلة للتنفيذ ومراجعة التغييرات الحاصلة في ملف التهيئة بانتظام.

الاستعداد للهجمات المادية/الداخلية باستخدام التشفير الكامل للأقراص الصلبة، والتشغيل الجذري الآمن والموثوق به للنظام، وتركيب كاميرات مراقبة ظاهرة لمنع العبث في الأجهزةالمهمة.

إجراء عمليات تدقيق في النظام، والتحقق من السجلات بحثًا عن أية مؤشرات على هجوم ما.

إجراء اختبارات اختراق على إعداداتLinux.

استخدام حل أمني مخصصلحماية Linux، مثل Integrated Endpoint Security، لتقديم الحماية من مخاطر الويب والمخاطر الشبكية واكتشاف محاولات التصيد ومواقع الويب الخبيثة والهجمات الشبكية، إضافة إلى رصد محاولات التحكم في الأجهزة، ما يسمح للمستخدمين بتحديد قواعد نقل البيانات إلى الأجهزة الأخرى.

يسمح الحلّ Kaspersky Hybrid Cloud Security بحماية عمليات التطوير البرمجيDevOps، ما يتيح دمج الأمن في منصات وحاويات CI/CD، وفحص الصور للكشف عن هجمات سلاسل التوريد.