Kaspersky dice que Linux cada vez más es el objetivo para ataques
Según los investigadores de seguridad de Kaspersky, los hackers se centran cada vez más en atacar servidores y estaciones de trabajo Linux.
Si bien los sistemas Windows siempre han estado en la mira de los atacantes, las amenazas persistentes avanzadas (APT) son ahora un problema grave en el mundo de Linux.
Pues los sistemas Linux son el objetivo específico de una creciente selección de herramientas maliciosas.
Si bien no es nada desconocido que se detecte malware para Linux, y ha habido muchos ejemplos notables como TwoSail Junk, Sofacy y Equation, Kaspersky señala que, a pesar de la impresión generalizada de que los sistemas Linux rara vez o nunca son un objetivo, en realidad hay muchos webhells, backdoors y rootkits diseñados específicamente para Linux.
El mito de que Linux, al ser un sistema operativo menos popular, es poco probable que sea blanco de malware, invita a riesgos adicionales de ciberseguridad. Si bien los ataques dirigidos a sistemas basados en Linux aún son poco comunes, ciertamente existe un malware diseñado para ellos, que incluye webshells, backdoors, rootkits e incluso exploits personalizados.
Un ejemplo reciente es una versión actualizada del backdoor de Linux Penguin_x64 del grupo ruso Turla.
El grupo coreano Lazarus también ha aumentado su arsenal de malware para Linux, incluidas varias herramientas utilizadas para espionaje y ataques financieros.
Yury Namestnikov, director del Equipo de análisis e investigación global de Kaspersky (GReAT) en Rusia, dice:
“Nuestros expertos han identificado muchas veces la tendencia hacia la mejora de las herramientas APT en el pasado. y las herramientas centradas en Linux no son una excepción. Para proteger sus sistemas, los departamentos de seguridad y TI utilizan Linux con más frecuencia que nunca. Los actores de amenazas están respondiendo a este desarrollo creando herramientas sofisticadas que pueden penetrar en estos sistemas. Aconsejamos a los expertos en ciberseguridad que presten atención a esta tendencia e implementen medidas adicionales para proteger sus servidores y estaciones de trabajo «.
La compañía de seguridad comparte detalles de una serie de pasos que se pueden tomar para ayudar a proteger los sistemas Linux de las APT:
- Mantener una lista de fuentes de software confiables y evitar el uso de canales de actualización no cifrados.
- No ejecutar binarios y scripts de fuentes que no sean de confianza. Las formas ampliamente publicitadas de instalar programas con comandos como «curl https://install-url | sudo bash» plantean un problema de seguridad real
- Asegurarse de que el proceso de actualización sea eficiente y configure actualizaciones de seguridad automáticas
- Tomarse el tiempo para configurar correctamente un firewall: asegurarse de que registre la actividad de la red, bloquee los puertos que no esté utilizando y reduzca su huella de red
- Utilizar la autenticación SSH basada en claves y proteja las claves con contraseñas
- Usar 2FA (autenticación de dos factores) y almacenar claves confidenciales en dispositivos token externos (por ejemplo, Yubikey)
- Utilizar un conector de red fuera de banda para monitorear y analizar de forma independiente las comunicaciones de red de sus sistemas Linux
- Mantener la integridad del archivo ejecutable del sistema y revisar periódicamente los cambios en el archivo de configuración
- Esté preparado para ataques físicos o internos: use cifrado de disco completo, cebadores seguros y confiables y coloque cintas de seguridad a prueba de manipulaciones en su hardware crítico.
- Auditar el sistema y comprobar los registros en busca de indicadores de ataque
- Realice pruebas de penetración en su instalación de Linux
- Utilice una solución de seguridad dedicada con protección de Linux, como la seguridad de punto final integrada. Esta solución proporciona protección web y de red para detectar phishing, sitios web maliciosos y ataques a la red, así como control de dispositivos, lo que permite a los usuarios establecer reglas para la transferencia de datos a otros dispositivos.
Kaspersky Hybrid Cloud Security habilita la protección DevOps, lo que permite la integración de seguridad en plataformas y contenedores CI / CD, y escaneo de imágenes contra ataques a la cadena de suministro
Si quieres conocer mas al respecto puedes consultar la nota original en el siguiente enlace.