Hace años los usuarios de Linux nos burlábamos de los de Windows por sus problemas de seguridad. Un chiste común era que el único virus que conocíamos era el del resfrío que nos pescábamos. Resfrío resultado de las actividades al aire libre realizadas en el tiempo no dedicado a formatear y reiniciar.

Como les pasó a los cerditos del cuento, nuestra seguridad era solo una sensación. A medida que Linux se fue haciendo un lugar en el sector corporativo, los delincuentes informáticos encontraron la forma de burlar sus protecciones.

Por qué aumentan ataques contra Linux

Cuando estaba recopilando los artículos para el balance del 2021, me sorprendió que todos los meses hubiera una información sobre problemas de seguridad relacionados con Linux. Por supuesto que, que gran parte de la responsabilidad no es de los desarrolladores sino de los administradores de sistemas.  La mayor parte de los problemas son por infraestructuras mal configuradas o administradas.

De acuerdo con los investigadores de ciberseguridad de VMWare, los delincuentes informáticos convirtieron a Linux en objeto de sus ataques cuando descubrieron que, en los últimos cinco años, Linux se convirtió en el sistema operativo más popular para entornos multicloud y es el que está detrás del 78% de los sitios web más populares.

Uno de los problemas es que la mayoría de las contramedidas anti malware actuales se centran principalmente
en abordar las amenazas basadas en Windows.

Las nubes públicas y privadas constituyen objetivos de gran valor para los ciberdelincuentes, ya que brindan acceso a servicios de infraestructura y recursos informáticos de importancia crítica. Ellas alojan componentes clave, como servidores de correo electrónico y bases de datos de clientes,

Estos ataques se producen aprovechando sistemas de autenticación débil, vulnerabilidades y configuraciones erróneas en infraestructuras basadas en contenedores para infiltrarse en el entorno utilizando herramientas de acceso remoto (RAT).

Una vez que los atacantes consiguieron ingresar en el sistema, suelen optar por dos tipos de ataques: ejecutar ransomware o implementar componentes de criptominería.

• Ransomware: En este tipo de ataque, los delincuentes ingresan a una red y cifran los archivos.
• Criptominería: En realidad hay dos tipos de ataques. En el primero se roban billeteras simulando una aplicación basada en criptomonedas y en el segundo se usan los recursos de hardware del equipo atacado para el minado.

Cómo se realizan los ataques

Una vez que el delincuente logra obtener acceso inicial a un entorno, debe encontrar una manera de aprovechar este acceso limitado para conseguir más privilegios. El primer objetivo es instalar programas en un sistema comprometido que le permita obtener un control parcial de la máquina.

Este programa, conocido como implante o baliza, tiene como objetivo establecer conexiones de red regulares al servidor de comando y control para recibir instrucciones y transmitir los resultados.

Hay dos formas de conexión con el implante; pasiva y activa

• Pasiva: El implante pasivo espera la conexión con un servidor comprometido.
• Activa: El implante está permanentemente conectado con el servidor de comando y control.

Las investigaciones determinan que los implantes en modo activo son los más usados.

Tácticas de los atacantes

Los implantes a menudo realizan reconocimientos en los sistemas de su área. Por ejemplo, pueden escanear un conjunto completo de direcciones IP para recopilar información de sistemas y obtener datos de banner de puerto TCP. Esto también puede permitir que el implante recopile direcciones IP, nombres de host, cuentas de usuario activas y sistemas operativos específicos y versiones de software de todos los sistemas que detecta.

Los implantes tienen que ser capaces de ocultarse dentro de los sistemas infectados para continuar haciendo su trabajo. Para eso suele mostrarse como otro servicio o aplicación del sistema operativo anfitrión. En las nubes basadas en Linux se camuflan como trabajos cron de rutina. En los sistemas inspirados en Unix como Linux, cron permite que los entornos Linux, macOS y Unix programen procesos para que se ejecuten a intervalos regulares.  De esta forma, el malware puede implantarse en sistema comprometido con una frecuencia de reinicio de 15 minutos, por lo que puede reiniciarse si alguna vez se cancela.