O número de infecções por malware em dispositivos Linux aumentou em 2021, tendo como propósito principal capturar dispositivos IoT para ataques distribuídos de negação de serviço (DDoS, na sigla em inglês).
Dispositivos IoT normalmente são “sensores inteligentes” com pouca potência que executam várias distribuições do Linux e têm funcionalidades específicas. No entanto, quando seus recursos são combinados em grandes grupos, podem ser usados em ataques DDoS massivos até mesmo em infraestruturas bem protegidas.
Além de DDoS, dispositivos IoT Linux são capturados também para minerar criptomoedas, facilitar campanhas de spam, servir como retransmissores, atuar como servidores de comando e controle ou até mesmo atuar como pontos de entrada em redes corporativas.
Relatórios de segurança cibernética, que tem como base dados sobre ataques referentes a 2021, revela que houve um aumento de 35% no número de malware direcionado a sistemas Linux na comparação com 2020. XorDDoS, Mirai e Mozi foram as famílias de malwares mais predominantes, respondendo por 22% de todos os ataques de direcionados ao Linux, observados no ano passado.
O Mozi, em particular, teve um crescimento explosivo de atividade, com dez vezes mais amostras circulando na “natureza” no ano que passou na comparação com o ano anterior.
O XorDDoS também registrou um notável aumento ano sobre ano, de 123%. Trata-se de um trojan Linux versátil que funciona em várias arquiteturas de sistemas Linux, de ARM (IoT) a x64 (servidores). Ele usa criptografia Xor para comunicações de comando e controle, daí o nome. Ao atacar dispositivos IoT, o XorDDoS exerce força bruta em dispositivos vulneráveis via SSH (Secure Shell), protocolo de rede criptográfico para operação de serviços de rede de forma segura. Em máquinas Linux, ele usa a porta 2375 para obter acesso root (com privilégios de administrador)
Sem senha ao host
Um caso notável da distribuição do malware foi mostrado em 2021, depois que um grupo chinês operador de ameaças conhecido como “Winnti” foi observado implantando-o com outras botnets derivadas.
Já o Mozi é uma botnet P2P (ponto a ponto) que conta com o sistema de pesquisa de tabela de hash distribuído (DHT) para ocultar comunicações de comando e controle suspeitas de soluções de monitoramento de tráfego de rede. A botnet já existe há algum tempo, adicionando continuamente mais vulnerabilidades e expandindo seu escopo de segmentação.
O Mirai é uma botnet conhecida que gerou vários forks devido ao seu código-fonte disponível publicamente, que continua a atormentar redes de IoT. As várias variantes da botnet implementam diferentes protocolos de comunicação de comando e controle, mas todos eles normalmente exploram credenciais fracas para o uso de força bruta nos dispositivos.
Tendência que continua em 2022
As descobertas não são surpreendentes, pois confirmam uma tendência contínua que surgiu nos anos anteriores. Um relatório da Intezer analisando as estatísticas de 2020 descobriu que as famílias de malware do Linux aumentaram 40% naquele ano na comparação com 2019.
Nos primeiros seis meses de 2020, foi registrado um aumento acentuado de 500% do malware Golang, mostrando que os seus operadores estavam procurando maneiras de executar seu código em várias plataformas. Essa programação e, por extensão, a tendência de direcionamento, já foi confirmada nos casos do início deste ano e provavelmente continuará inabalável.