Насколько неуязвим Linux?

Наши эксперты проанализировали сложные атаки и APT-кампании, нацеленные на Linux, и дали ряд рекомендаций по защите.

Многие годы бытовало мнение, что под Linux вредоносов нет. Однако в действительности это заблуждение, которое зародилось под действием трех факторов. Во-первых, до недавнего времени Linux был системой для нишевых задач, он был гораздо менее распространен, нежели Windows. Во-вторых, им пользовались в основном IT-профессионалы, которые совершали ошибки реже, чем пользователи. Ну и в-третьих, из-за особенностей архитектуры системы для причинения ущерба вредоносу нужно было как-то получить root-права, что значительно усложняло задачу злоумышленников.

Однако ситуация со временем менялась. Сейчас системы на базе Linux в некоторых сферах догоняют Windows, а кое-где давно обогнали. Кроме того, многие разработчики пытаются сделать свои системы более удобными для конечного пользователя — снабжают их графическими оболочками и инструментами, которые на первый взгляд просто неотличимы от изначально дружелюбных пользователям систем семейства Windows. Это значительно повысило популярность Linux и привлекло больше пользователей, которые были уже не так профессиональны и ошибались чаще. А увеличение популярности и популярность Linux-систем в стратегически важной серверной нише, в свою очередь, привели к тому, что злоумышленники стали уделять этой системе больше внимания.

Да, действительно, мы до сих пор не видели ни одной крупномасштабной эпидемии, которая затрагивала бы машины под управлением систем на базе Linux. Однако операторы целевых и APT-атак все чаще создают инструменты именно под это семейство ОС. Наши коллеги из Global Research and Analysis Team (GReAT) проанализировали сложные угрозы за последние годы и обнаружили, что большинство современных групп злоумышленников всерьез интересуются Linux.

Средства для атак на Linux-системы есть у группировок Winniti (также известная как APT41 или Barium), Cloud Snooper, DarkHotel, Equation, Lazarus, Sofacy, The Dukes, The Lamberts, Turla, WildNeutron и многих других. Кроме того, свои инструменты под Linux разрабатывала и компания HackingTeam. Она разрабатывает ПО для так называемой легальной слежки и продает его правительствам и правоохранительным органам. Несколько лет назад ее взломали, так что теперь разработки компании есть и у киберпреступников. Более подробное описание группировок и их инструментов можно найти в отчете на блоге Securelist.

Краткие рекомендации по защите Linux-систем

Наши эксперты также разработали ряд рекомендаций, которые позволят минимизировать угрозу Linux-системам.

  • Создать список доверенных источников ПО под Linux и не допускать установку софта и запуск скриптов, полученных из сторонних источников.
  • Не забывать своевременно обновлять используемое ПО, причем следует делать это автоматически и избегать обновлений по нешифруемым каналам.
  • Тщательно настроить файрвол: убедиться, что он ведет логи и блокирует все неиспользуемые в работе порты.
  • Использовать двухфакторную аутентификацию и применять аппаратные токены.
  • Быть готовыми к инсайдерским атакам: использовать шифрование, доверенную загрузку и средства контроля за целостностью аппаратных устройств.
  • Периодически проводить аудит систем и проверять логи на индикаторы атак, а также проводить тесты на проникновение.
  • Использовать решение для обеспечения безопасности Linux-серверов.

В частности, в состав нашего решения для корпоративной защиты Kaspersky Total Security для бизнеса входят компоненты для защиты почтовых серверов и сетевых шлюзов. Более развернутые рекомендации вы также можете найти в посте на Securelist.

Советы