Çoğu kurum, popüler Windows işletim sistemine göre daha güvenli olduğunu düşündüğü Linux’u stratejik önem taşıyan sunucuları ve sistemleri için tercih ediyor. Büyük ölçekli zararlı yazılım saldırılarında durum böyle olsa da gelişmiş kalıcı tehditler (APT) söz konusu olduğunda kesin konuşmak zor. Kaspersky araştırmacıları, çok sayıda tehdit grubunun Linux odaklı araçlar geliştirerek Linux tabanlı cihazları hedef almaya başladığını tespit etti.
Geçtiğimiz sekiz yıl içinde bir düzineden fazla APT’nin Linux zararlı yazılımları ve Linux tabanlı modüller kullandığı görüldü. Bunlar arasında Barium, Sofacy, Lamberts ve Equation gibi tanınmış tehdit grupları yer aldı. Son dönemde gerçekleşen WellMess ve TwoSail Junk adlı grup tarafından düzenlenen LightSpy gibi saldırılar da bu işletim sistemini hedef aldı. Tehdit grupları elindeki silahları Linux araçlarıyla çeşitlendirerek daha fazla kişiye daha etkili şekilde erişebiliyor.
Büyük kurumsal şirketler ve devlet kurumları arasında Linux’u masaüstü ortamı olarak kullanma konusunda ciddi bir eğilim var. Bu da tehdit gruplarını bu platforma yönelik zararlı yazılım geliştirmeye itiyor. Daha az popüler bir işletim sistemi olan Linux’un zararlı yazılımların hedefi olmayacağı düşüncesi ortaya yeni siber güvenlik riskleri çıkarıyor. Linux tabanlı sistemlere yönelik hedefli saldırılar çok sık görülmese de bu platform için tasarlanan uzaktan kontrol kodları, arka kapılar, izinsiz erişim sağlayan yazılımlar ve hatta özel açıklar bulunuyor. Saldırı sayısının az olması yanıltıcı olabiliyor. Linux tabanlı sunucular ele geçirildiğinde çok ciddi sonuçlar ortaya çıkabiliyor. Saldırganlar yalnızca sızdıkları cihaza değil Windows veya macOS kullanılan uç noktalara da erişebiliyor. Bu da saldırganların fark edilmeden daha çok yere ulaşmasını sağlıyor.
Örneğin, gizli veri sızdırma yöntemleriyle bilinen ve Rusça konuşan kişilerden oluşan Turla adlı grup, kullandığı araç setini yıllar içinde değiştirerek Linux arka kapılarından da yararlanmaya başladı. 2020’nin ilk aylarında raporlanan Penguin_x64 adlı Linux arka kapısının yeni bir sürümü, Temmuz 2020 itibarıyla Avrupa ve ABD’de onlarca sunucuyu etkiledi.
Korece konuşan kişilerden oluşan Lazarus adlı APT grubu ise araç setini çeşitlendirerek Windows dışındaki platformlarda da kullanılabilen zararlı yazılımlar geliştirmeye devam ediyor. Kaspersky yakın zaman önce, MATA adlı çok platformlu zararlı yazılım çerçevesi hakkında bir rapor yayınladı. Haziran 2020’de ise araştırmacılar Lazarus’un finans kuruluşlarını hedef aldığı casusluk saldırıları “Operation AppleJeus” ve “TangoDaiwbo” ile bağlantılı yeni örnekleri analiz etti. Analiz sonucunda örneklerin Linux zararlı yazılımları olduğu görüldü.
Kaspersky Global Araştırma ve Analiz Ekibi Rusya Direktörü Yury Namestnikov, “Uzmanlarımız geçmişte de APT’lerin kullandıkları araçları daha geniş bir yelpazeye yaydığını defalarca görmüştü. Linux odaklı araçlar da bu tür eğilimlerde tercih ediliyor. Sistemlerini güvenli hale getirmeyi amaçlayan BT ve güvenlik departmanları Linux’u daha önce hiç olmadığı kadar kullanmaya başladı. Tehdit grupları da buna bu sistemi hedef alan gelişmiş araçlarla yanıt veriyor. Siber güvenlik uzmanlarına bu eğilimi ciddiye almalarını, sunucularını ve iş istasyonlarını korumak için ek güvenlik önlemleri almalarını öneriyoruz.” dedi.
Kaspersky araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından Linux sistemlerine yönelik düzenlenen bu tür saldırılardan etkilenmemek için şunları öneriyor:
- Güvenilir yazılım kaynaklarının bir listesini oluşturun ve şifrelenmemiş güncelleme kanallarını kullanmaktan kaçının.
- Güvenmediğiniz kaynaklardan gelen kodları çalıştırmayın. “curl https://install-url | sudo bash” gibi sıkça tanıtılan program kurma yöntemleri güvenlik sorunlarına yol açar.
- Güncelleme prosedürünüzün otomatik güvenlik güncellemelerini yapmasını sağlayın.
- Güvenlik duvarınızı düzgün bir şekilde kurmaya zaman ayırın. Ağdaki faaliyetlerin kaydını tutun, kullanmadığınız tüm portları kapatın ve ağ boyutunu olabildiğince küçültün.
- Anahtar tabanlı SSH kimlik doğrulama yöntemi kullanın ve anahtarları parolalarla güvene alın.
- İki faktörlü kimlik doğrulama yöntemini kullanın ve hassas anahtarları harici aygıtlarda (örn. Yubikey) saklayın.
- Linux sistemlerinizdeki ağ iletişimlerini bağımsız olarak izlemek ve analiz etmek için bant dışı ağ kullanın.
- Çalıştırılabilir sistem dosyasının bütünlüğünü koruyun ve yapılandırma dosyasındaki değişiklikleri düzenli olarak kontrol edin.
- İçeriden düzenlenen fiziksel saldırılara karşı hazırlıklı olun. Tam disk şifreleme, güvenilir/güvenli sistem açılışı özelliklerini kullanın. Kritik donanımların üzerine, kurcalandığında anlaşılmasını sağlayan güvenlik bantı yapıştırın.
- Sistem ve kontrol kayıtlarında saldırı belirtisi olup olmadığını kontrol edin.
- Linux sisteminize sızma testi yapın.
- Linux koruması sağlayan özel bir güvenlik çözümü kullanın. Ağ koruması sunan bu çözüm, kimlik avı saldırılarını, zararlı web sitelerini ve ağ saldırılarını tespit ediyor. Ayrıca kullanıcıların diğer cihazlara veri aktarımı için kurallar belirlemesine imkan veriyor.