Хакеры не просто знают об уязвимостях Linux, по мнению специалистов Лаборатории Касперского, эти знания они стали применять в два раза чаще. То есть, за первый квартал количество попыток кибератак увеличилось более чем на 100%, по сравнению с аналогичным периодом 2023 года. Это можно объяснить не только недоработками разработчиков, но и возросшим интересом к Linux со стороны пользователей, киберпреступников и тех, кто пытается обеспечить кибербезопасность. На конец 2023 года общее количество критических уязвимостей Linux составило более 1,2 тыс. А ещё пару лет назад их было в три раза меньше! В чем же дело? Попробуем разобраться.

Уязвимости Linux: краткая история появления

Первые компьютерные вирусы появились ещё в середине 20-го века, а Unix-подобные системы – чуть позже. Вирусы, адаптированные специально под них, были придуманы в 1984 году, и они являются «неожиданным» следствием череды экспериментов. Первый вирус для ядра Linux увидел свет в 1996 году, и он получил название Staog. Его создатель – хакер VLAD из Quantum. И именно его «коллеги» придумали вирус для Windows'95. Задача вируса, придуманного VLAD – получение привилегий суперпользователя. Staog для своей работы использовал некоторые ошибки в ПО, а заразить компьютер вредоносным программным обеспечением можно было несколькими способами.

Но Staog не причинил ощутимого вреда компьютерам и их пользователям, поскольку в то время большинство ПК работало на Windows. А через некоторое время он и вовсе был обезврежен. Но Staog показал всему компьютерному миру, что ядро Linux отличается уязвимостью, и всего через год появился Bliss, который не давал запускаться исполняемым файлам в системе, поскольку намертво прикреплялся к ним. И для этого ему нужно было совсем немного – root-доступ. А потом появились вирусы Tuxissa, ZipWorm, Ramen и другие. Сейчас распространены бот-неты, роботизированные сети (robot+network), которыми можно управлять дистанционно. Кстати, для доступа к учётной записи администратора нельзя использовать пароли, сгенерированный системой!

Андрес Фройнд – герой нашего времени

Обнаружением уязвимостей должны заниматься специалисты по кибербезопасности. И Андрес Фройнд им точно не является, потому что по роду деятельности он – разработчик PostgresSQL и штатный сотрудник Microsoft. Именно этот человек абсолютно случайно обнаружил, что в набор утилит XZ Utils был преднамеренно внедрён вредоносный код. А дело было так: Андрес Фройнд настраивал систему Linux, используя протокол SSH. Признаками, указавшим на наличие «закладки», стали: небольшая задержка при использовании протокола и повышенная нагрузка на процессор. Причина – обновления, внесённые в служебные программы операционной системы Linux.

Уязвимость, внедренная в XZ Utils, вызвала настоящий шок. Потому что, если бы эта кибератака осталась незамеченной, то миллионы устройств, работающих на ОС Linux, оказались бы взломанными. И это – не только ПК пользователей и роутеры, но и системы хранения данных, а также серверы, к которым киберпреступники могли бы получить удаленный доступ. По мнению экспертов, это – самая крупная атака, которую организовали высококвалифицированные хакеры. Поэтому, крайне важно в критичных системах использовать исключительно стабильные дистрибутивы Linux – многократно проверенные. При этом, необходимо проверять, как ведёт себя система после обновления.

Новая угроза, которая уже выставлена на продажу

Хакеры объявили о появлении новой угрозы. Речь идёт об уязвимости нового дня в загрузчике Linux, благодаря которой злоумышленникам удается получать root-доступ к системе. Это возможно за счёт беспрепятственного обхода механизмов аутентификации. Данная уязвимость имеет прямое отношение к критическому компоненту. Это – загрузчик GRUB, используемый Linux для управления загрузкой. Получение root-доступа – реальная угроза, поскольку это даёт возможность несанкционированно устанавливать вредоносное программное обеспечение - постоянное или скрытое. Благодаря этому, киберпреступники могут контролировать уязвимые системы, что чревато утечкой данных, сбоями и другими неприятностями в виде шпионажа.

Уязвимость нулевого дня в LPE Linux уже выставлена на продажу, что опасно вдвойне, если продавец не является киберпреступником. Ведь, настоящие хакеры могут получить доступ к загрузчику ОС и повысить свои привилегии. Примечательно, что уязвимости нулевого дня – лакомый кусок для АРТ-группировок, которые могут неожиданно атаковать жертв. Для обнаружения угроз и реагирования на них требуются соответствующие инструменты – современные средства защиты информации, которые эффективны только при условии их использования квалифицированными специалистами!

Поиск уязвимостей Linux в 2024 году

Ландшафт киберугроз постоянно меняется, поэтому за ним ведётся неусыпное наблюдение. Безусловно, можно обнаружить киберугрозу чисто случайно, как это сделал Андрес Фройнд. Но чаще всего, этим занимаются специалисты, для которых обеспечение кибербезопасности является профессией. Например, это сотрудники «Лаборатории Касперского», которые ежемесячно и еженедельно проводят колоссальную работу. Они не только следят за количеством новых уязвимостей, но и проводят тщательный анализ каждой из них, и, разумеется, разрабатывают средства защиты.

Специалисты Kaspersky Lab рекомендуют принимать меры для обеспечения кибербезопасности, которые, в том числе, предполагают использование антивирусов и прочих продуктов, способных обеспечить защиту. Также, необходимо устанавливать обновления ОС и внедрять сервисы, способные на ранних стадиях распознавать и останавливать хакерские атаки. Стоит отметить, что злоумышленники используют, как новые эксплойты, так и уже опубликованные, но доработанные. Ряд продуктов, например, Kaspersky Security содержат решения для защиты от эксплойтов, а также для выявления подозрительных, вредоносных действий и их отката.