Gli APT (Advanced Persistent Threat) sono stati e continuano ad essere lo zenit assoluto nel mondo del cyber crimine: inizialmente nati come l’élite del cyberspionaggio al soldo di governi e dittature, questi gruppi hanno da qualche hanno ampliato il loro portfolio di attività e attacchi su larga scala anche senza la “spinta” di un obiettivo geopolitico, mettendo di fatto in campo le loro conoscenze e skills per salire in cima alla “catena alimentare” delle minacce. Una delle caratteristiche dei loro attacchi, oltre appunto al livello avanzato con cui venivano portati a termine, era la loro predilezione nel colpire ambienti Windows, ma questo non significa che Linux sia escluso dalle loro mire.
Anzi, una recente impennata di attacchi da parte di APT contro risorse Linux ha spinto un gruppo di ricercatori a condividere i dettagli di questi attacchi per sfatare qualche mito che ancora circonda questo sistema operativo, soprattutto per quanto riguarda la sua security posture.
Secondo il Kaspersky’s Global Research & Analysis Team (GReAT), il trend è iniziato oltre otto anni fa, con sempre più gruppi di APT dediti allo sviluppo di software e tool per attaccare dispositivi che operano con software Linux.
Indice degli argomenti
Linux: una piattaforma a prova di hacker?
Uno dei miti da sfatare su Linux, come accennato, è proprio quello che il software di default non sia suscettibile ad attacchi e abbia una sorta di coltre di inespugnabilità che non rende necessario lo stesso impegno e livello di risorse utilizzate per difendere un sistema Windows equivalente.
Potremmo chiamarla la sindrome Apple, altro brand famoso che un po’ soffre di questa nomea.
Questa convinzione deriva principalmente dal fatto che nel “sentir comune” i criminal hacker non abbiano né lo stimolo né gli strumenti necessari per modificare malware già sviluppati e renderli in grado di colpire desktop e server Linux.
Ovvio, Windows rimane ancora la vittima prescelta, ma potremmo essere sorpresi dall’avanzare delle minacce anche per Linux, come anche Kaspersky ha tenuto a sottolineare.
Anche se il software, infatti, non ha ricevuto ondate di trojan, malware e worm come la controparte di Seattle, sarebbe riduttivo pensare che questo non rappresenti un bersaglio interessante per i criminal hacker.
Sono già stati individuati infatti codici di exploit, rootkit e PHP backdoors a centinaia, tutti progettati per Linux, ma ancora stiamo prestando poca attenzione a questo fatto.
E questa “mancanza di attenzione”, se così possiamo definirla, potrebbe rivelarsi molto pericolosa.
Le lacune che lascia indietro, infatti, si traducono in responsabili e team di sicurezza dei vendor meno attenti a quelle che potrebbero potenzialmente trasformarsi in vulnerabilità exploitabili.
Tutto ciò lascia l’utente finale con meno strumenti con cui proteggere i proprio desktop, server e dispositivi IoT. Ovviamente, è una generalizzazione della situazione, ma comunque un problema riscontrato abbastanza volte da diventare degno di nota. E se cominciamo a prendere in considerazioni gli attacchi mirati da parte dei gruppi APT riscontriamo immediatamente come ognuno di questi abbia in suo possesso tool specifici per prendere il controllo di macchine Linux.
E gli APT hanno buone ragioni per attaccare bersagli Linux invece che Microsoft, in primis a causa del recente trend di virtualizzazione a livello di sistema operativo che fa a meno delle macchine virtuali tradizionali di Windows.
I container creati con Linux, però, sono accessibili da Internet e posso fornire il punto di appoggio necessario ai criminal hacker per sferrare i loro attacchi.
Sta di fatto che, come spesso accade, dove si muove il mercato, i criminal hacker seguono: se più organizzazioni passano a Linux o macOS, gli aggressori di conseguenza di organizzeranno per attaccare questi ambienti.
Gruppi APT e attacchi a Linux: i bersagli preferiti
Secondo Kaspersky i server sono il bersaglio più comune di questi attacchi, seguiti dai dispositivi IT e di rete aziendali, quindi dalle workstation. E ci sono stati casi in cui gli aggressori hanno utilizzato router compromessi, router che utilizzavano Linux, come C&C per impianti Windows nella stessa rete.
I server dovrebbero essere il primo problema da affrontare: la loro importanza strategica li rende infatti un bersaglio privilegiato. Se un aggressore riuscisse a compromettere un server Linux, potrebbe sia accedere ai dati di quel server sia agli endpoint di destinazione con Windows o macOS che possono essere collegati.
Gruppi APT e attacchi a Linux: evoluzione delle tecniche
Sta di fatto che il fenomeno dell’hacking contro i dispositivi Linux è in continua evoluzione.
Quando gli aggressori hanno iniziato a scrivere malware, il loro obiettivo era quello di manipolare il traffico di rete. Questo era chiaro nel caso di Cloud Snooper, un APT che utilizzava un rootkit del kernel Linux orientato al server, progettato per agganciare le funzioni di controllo del traffico di Netfilter e le comunicazioni di comando e controllo che attraversavano il firewall dell’obiettivo.
Secondo Kaspersky anche Barium/APT41 utilizzava la stessa tecnica.
Questo gruppo ha iniziato nel 2013 rivolgendosi alle società nel settore del gaming, ma nel corso del tempo ha sviluppato nuovi strumenti e ha perseguito obiettivi più complicati.
Ha impiegato, per esempio, un malware Linux chiamato MessageTap che veniva utilizzato per intercettare i messaggi SMS provenienti dall’infrastruttura dei fornitori di servizi di telecomunicazione.
Gli aggressori APT che prendono di mira Linux utilizzano spesso strumenti legittimi disponibili su server e desktop basati su Linux – ad esempio la possibilità di compilare codice o di eseguire script Python – che alla fine lasciano meno tracce nei log, rendendo anche più difficile la fase di investigazione in caso di attacco.
La cosa più preoccupante, comunque, è la loro capacità di nascondersi sui dispositivi Linux e di andarsene poi a piacimento.
Per farlo, per esempio, infettano dispositivi IoT o sostituiscono file legittimi su server compromessi. Poiché questi server non vengono aggiornati così spesso e in molti casi non hanno installato un antivirus, queste sostituzioni vengono spesso identificate troppo tardi – sempre che lo siano.
Le necessarie misure di sicurezza
Mentre Linux rimane un bersaglio meno frequente di Windows, è assolutamente necessario approntare delle misure di sicurezza in grado di garantire la massima cyber resilience.
Un primo step è quello di fare affidamento solo ad un elenco di fonti sicure per i propri software e di installare solo applicazioni provenienti da vendor ufficiali.
Oltre a questo, è consigliato controllare le impostazioni di rete ed evitare applicazioni di rete non necessarie.
Altri consigli utili, infine, sono:
- corretta configurazione del firewall per filtrare il traffico di rete e memorizzare tutta l’attività dell’host;
- protezione delle chiavi SSH memorizzate in locale e utilizzate per i servizi di rete;
- adottare l’autenticazione multifattore per le sessioni SSH.
