Συστήματα Linux υπάρχουν παντού και αποτελούν βασικό μέρος της υποδομής του Διαδικτύου. Συστήματα Linux όμως είναι και οι συσκευές Internet of Things (IoT) χαμηλής κατανάλωσης ενέργειας και έχουν γίνει ο κύριος στόχος για κακόβουλο λογισμικό που στοχεύει το Linux.
Με δισεκατομμύρια συσκευές συνδεδεμένες στο Διαδίκτυο όπως αυτοκίνητα, ψυγεία και συσκευές δικτύου, οι συσκευές IoT έχουν γίνει πρωταρχικός στόχος για ορισμένες δραστηριότητες κακόβουλου λογισμικού — και συγκεκριμένα για επιθέσεις άρνησης υπηρεσίας (DDoS).
Η εταιρεία ασφάλειας CrowdStrike αναφέρει σε μια νέα έκθεση ότι οι πιο διαδεδομένες οικογένειες κακόβουλων προγραμμάτων που στόχευαν το Linux το 2021 ήταν οι XorDDoS, Mirai και Mozi. Τα συγκεκριμένα malware αντιπροσώπευαν το 22% του συνόλου του κακόβουλου λογισμικού IoT που στόχευαν το Linux εκείνη τη χρονιά.
Ήταν επίσης ο κύριος μοχλός κακόβουλου λογισμικού που στοχεύει όλα τα συστήματα που χρησιμοποιούν Linux. Στις επιθέσεις αυτές παρατηρήθηκε αύξηση κατά 35% το 2021 σε σύγκριση με το 2020.
Το Mozi, το οποίο εμφανίστηκε το 2019, είναι ένα peer-to-peer botnet που χρησιμοποιεί τον κατανεμημένο πίνακα κατακερματισμού (DHT) (ένα σύστημα αναζήτησης) και ψάχνει αδύναμους κωδικούς πρόσβασης Telnet και γνωστές ευπάθειες για τη στόχευση συσκευών δικτύωσης, IoT και συσκευών εγγραφής βίντεο. Η χρήση του DHT επιτρέπει στο Mozi να κρύβει την επικοινωνία εντολών και ελέγχου πίσω από τη νόμιμη κυκλοφορία DHT. Υπήρχαν 10 φορές περισσότερα δείγματα Mozi το 2021 σε σύγκριση με το 2021, αναφέρει η Crowdstrike.
Το XorDDoS, ένα Linux botnet για επιθέσεις DDoS μεγάλης κλίμακας, υπάρχει τουλάχιστον από το 2014 και σαρώνει το δίκτυο για διακομιστές Linux με SSH που δεν προστατεύεται με ισχυρό κωδικό πρόσβασης ή κλειδιά κρυπτογράφησης. Προσπαθεί να μαντέψει τον κωδικό πρόσβασης για να δώσει στους εισβολείς απομακρυσμένο έλεγχο της συσκευής.
Πιο πρόσφατα, το XorDDoS άρχισε να στοχεύει συμπλέγματα Docker στο cloud και όχι δρομολογητές και έξυπνες συσκευές συνδεδεμένες στο διαδίκτυο. Τα κοντέινερ Docker είναι ελκυστικά για κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων επειδή παρέχουν περισσότερο εύρος ζώνης, CPU και μνήμη. Το κακόβουλο λογισμικό DDoS χρησιμοποιεί τις συσκευές IoT επειδή παρέχουν περισσότερα πρωτόκολλα δικτύου για κατάχρηση. Ωστόσο, καθώς έχουν μολυνθεί πάρα πολλές συσκευές IoT, τα συμπλέγματα Docker έγιναν ένας εναλλακτικός στόχος.
Σύμφωνα με το CrowdStrike, ορισμένες παραλλαγές του XorDDoS είναι κατασκευασμένες για σάρωση και αναζήτηση διακομιστών Docker με ανοιχτή τη θύρα 2375, προσφέροντας απομακρυσμένη πρόσβαση χωρίς κωδικό πρόσβασης root στον κεντρικό υπολογιστή. Αυτό μπορεί να δώσει στον εισβολέα πρόσβαση root στο μηχάνημα.
Τα δείγματα κακόβουλου λογισμικού XorDDoS αυξήθηκαν κατά 123% το 2021 σε σύγκριση με το 2020, σύμφωνα με την εταιρεία.
Το Mirai εξαπλώνεται επίσης στοχεύοντας διακομιστές Linux με αδύναμους κωδικούς πρόσβασης. Οι πιο διαδεδομένες παραλλαγές του Mirai σήμερα περιλαμβάνουν τα Sora, IZIH9 και Rekai, τα οποία αυξήθηκαν κατά 33%, 39% και 83% αντίστοιχα το 2021, σύμφωνα με την CrowdStrike.