Linuxové systémy v USA a Evropě se staly terčem kyberútoků malwarem. Novou variantou malwaru bylo infikováno 185 systémů. Sedmadvacet procent pokusů o útok bylo zaznamenáno v USA. Detekováno bylo více než 380 útoků. Za útoky stojí podle expertů velmi zkušený a nebezpečný kyberzločinec, takže je nutné brát hrozbu vážně.
Linuxové systémy ve Spojených státech amerických a Evropě se staly terčem kyberútoků malwarem. Novou variantou malwaru bylo podle zjištění infikováno 185 systémů. Sedmadvacet procent pokusů o útok bylo zaznamenáno v USA, další pak ve Velké Británii, Itálii, Nizozemsku a Německu. Nejčastějším terčem útoků jsou finanční a vládní organizace.
Kyberútoky na linuxové systémy odhalil výzkumný tým společnosti Check Point® Software Technologies Ltd., světového poskytovatele kyberbezpečnostních řešení, Check Point Research. Podle Check Point Research útočník využívá zranitelnosti v systémech a snaží se vytvořit botnet pomocí nové malwarové varianty FreakOut. Ta umí skenovat porty počítačů (fyzické rozhraní, ke kterému se připojuje vnější zařízení pomocí kabelu – pozn. red.), sbírat informace, odposlouchávat síť, provádět DDoS útoky nebo flooding. Botnet by zároveň bylo možné ovládat na dálku.
V případě úspěšného zneužití lze každé infikované zařízení použít k dalším kyberútokům, využít systémové prostředky k těžbě kryptoměn nebo útočit na další cíle uvnitř i vně organizace.
Podle Check Point Research jsou ohrožené linuxové systémy s alespoň jedním z následujících produktů:
• TerraMaster TOS (TerraMaster Operating System), známý výrobce zařízení pro ukládání dat
• Zend Framework, populární balíčky knihoven používané pro vytváření webových aplikací
• Liferay Portal, bezplatný open-source podnikový portál s funkcemi pro vývoj webových portálů a stránek
185 obětí malwaru, 380 pokusů
Check Point dosud vysledoval 185 infikovaných systémů. Detekováno bylo také více než 380 útočných pokusů, kterým Check Point zabránil. Více než 27 % pokusů o útok bylo v USA. Další útoky byly například ve Velké Británii, Itálii, Nizozemsku a Německu. Nejčastějším terčem útoků jsou finanční a vládní organizace.
Útočník je dlouholetý hacker, který používá několik přezdívek, například Fl0urite nebo Freak. Výzkumný tým společnosti Check Point se pokouší odhalit jeho přesnou identity.
Jak vypadá infekční řetězec? Útok začíná instalací malwaru s využitím tří zranitelností: CVE 2020-28188, CVE 2021 3007 a CVE 2020 7961. Poté nahraje a spustí na napadených zařízeních skript Python. Následně nainstaluje XMRig, nechvalně známý kryptominer. Útok se dále šíří uvnitř sítě s využitím dostupných zranitelností.
Pomohou aktualizace a záplaty
Společnost Check Point upozorňuje, že je nutné opravit zranitelné frameworky TerraMaster TOS, Zend Framework a Liferay Portal. Aby se zabránilo podobným útokům, je důležité také implementovat síťová bezpečnostní řešení, jako je IPS, a řešení pro zabezpečení koncových bodů.
„Odhalili jsme kampaň zaměřenou na konkrétní uživatele systému Linux. Za útoky stojí velmi zkušený a nebezpečný kyberzločinec, takže je nutné brát hrozbu vážně. Znovu se tak ukazuje důležitost průběžných oprav a aktualizací. Ubezpečte se, že zranitelné frameworky máte správně záplatované,“ shrnuje informace k útoku na linuxové systémy security engineer v kyberbezpečnostní společnosti Check Point Pavel Krejčí .
Tomáš Rovný
