Tehdit grupları Linux tabanlı iş istasyonlarını ve sunucuları hedef almaya başladı

Birden fazla kurum, tanınan Windows işletim sistemine nazaran daha inançlı olduğunu düşündüğü Linux’u stratejik kıymet taşıyan sunucuları ve sistemleri için tercih ediyor. Büyük ölçekli ziyanlı yazılım hücumlarında durum bu türlü olsa da gelişmiş kalıcı tehditler (APT) kelam konusu olduğunda kesin konuşmak sıkıntı. Kaspersky araştırmacıları, çok sayıda tehdit kümesinin Linux odaklı araçlar geliştirerek Linux tabanlı aygıtları maksat almaya başladığını tespit etti.

Geçtiğimiz sekiz yıl içinde bir düzineden fazla APT’nin Linux ziyanlı yazılımları ve Linux tabanlı modüller kullandığı görüldü. Bunlar ortasında Barium, Sofacy, Lamberts ve Equation üzere tanınmış tehdit kümeleri yer aldı. Son devirde gerçekleşen WellMess ve TwoSail Junk isimli küme tarafından düzenlenen LightSpy gibi taarruzlar da bu işletim sistemini amaç aldı. Tehdit kümeleri elindeki silahları Linux araçlarıyla çeşitlendirerek daha fazla bireye daha tesirli halde erişebiliyor.

Büyük kurumsal şirketler ve devlet kurumları ortasında Linux’u masaüstü ortamı olarak kullanma konusunda önemli bir eğilim var. Bu da tehdit kümelerini bu platforma yönelik ziyanlı yazılım geliştirmeye itiyor. Daha az tanınan bir işletim sistemi olan Linux’un ziyanlı yazılımların gayesi olmayacağı niyeti ortaya yeni siber güvenlik riskleri çıkarıyor. Linux tabanlı sistemlere yönelik amaçlı taarruzlar çok sık görülmese de bu platform için tasarlanan uzaktan denetim kodları, art kapılar, müsaadesiz erişim sağlayan yazılımlar ve hatta özel açıklar bulunuyor. Akın sayısının az olması aldatıcı olabiliyor. Linux tabanlı sunucular ele geçirildiğinde çok önemli sonuçlar ortaya çıkabiliyor. Saldırganlar sadece sızdıkları aygıta değil Windows yahut macOS kullanılan uç noktalara da erişebiliyor. Bu da saldırganların fark edilmeden daha çok yere ulaşmasını sağlıyor.

Örneğin, bilinmeyen bilgi sızdırma teknikleriyle bilinen ve Rusça konuşan bireylerden oluşan Çeşitle isimli küme, kullandığı araç setini yıllar içinde değiştirerek Linux art kapılarından da yararlanmaya başladı. 2020’nin birinci aylarında raporlanan Penguin_x64 isimli Linux art kapısının yeni bir sürümü, Temmuz 2020 prestijiyle Avrupa ve ABD’de onlarca sunucuyu etkiledi.

Korece konuşan bireylerden oluşan Lazarus isimli APT kümesi ise araç setini çeşitlendirerek Windows dışındaki platformlarda da kullanılabilen ziyanlı yazılımlar geliştirmeye devam ediyor. Kaspersky yakın vakit evvel, MATA adlı çok platformlu ziyanlı yazılım çerçevesi hakkında bir rapor yayınladı. Haziran 2020’de ise araştırmacılar Lazarus’un finans kuruluşlarını amaç aldığı casusluk akınları “Operation AppleJeus” ve “TangoDaiwbo” ile irtibatlı yeni örnekleri tahlil etti. Tahlil sonucunda örneklerin Linux ziyanlı yazılımları olduğu görüldü.

Kaspersky Küresel Araştırma ve Tahlil Grubu Rusya Yöneticisi Yury Namestnikov, “Uzmanlarımız geçmişte de APT’lerin kullandıkları araçları daha geniş bir yelpazeye yaydığını tekraren görmüştü. Linux odaklı araçlar da bu cins eğilimlerde tercih ediliyor. Sistemlerini inançlı hale getirmeyi amaçlayan BT ve güvenlik departmanları Linux’u daha evvel hiç olmadığı kadar kullanmaya başladı. Tehdit kümeleri da buna bu sistemi amaç alan gelişmiş araçlarla karşılık veriyor. Siber güvenlik uzmanlarına bu eğilimi ciddiye almalarını, sunucularını ve iş istasyonlarını korumak için ek güvenlik tedbirleri almalarını öneriyoruz.” dedi.

Kaspersky araştırmacıları, tanınmış yahut tanınmamış bir tehdit kümesi tarafından Linux sistemlerine yönelik düzenlenen bu tıp taarruzlardan etkilenmemek için şunları öneriyor:

• Muteber yazılım kaynaklarının bir listesini oluşturun ve şifrelenmemiş güncelleme kanallarını kullanmaktan kaçının.
• Güvenmediğiniz kaynaklardan gelen kodları çalıştırmayın. “curl https://install-url | sudo bash” üzere sıkça tanıtılan program kurma yolları güvenlik meselelerine yol açar.
• Güncelleme prosedürünüzün otomatik güvenlik güncellemelerini yapmasını sağlayın.
• Güvenlik duvarınızı düzgün bir formda kurmaya vakit ayırın. Ağdaki faaliyetlerin kaydını tutun, kullanmadığınız tüm portları kapatın ve ağ boyutunu olabildiğince küçültün.
• Anahtar tabanlı SSH kimlik doğrulama tekniği kullanın ve anahtarları parolalarla inanca alın.
• İki faktörlü kimlik doğrulama tekniğini kullanın ve hassas anahtarları harici aygıtlarda (örn. Yubikey) saklayın.
• Linux sistemlerinizdeki ağ bağlantılarını bağımsız olarak izlemek ve tahlil etmek için bant dışı ağ kullanın.
• Çalıştırılabilir sistem evrakının bütünlüğünü koruyun ve yapılandırma evrakındaki değişiklikleri nizamlı olarak denetim edin.
• İçeriden düzenlenen fizikî ataklara karşı hazırlıklı olun. Tam disk şifreleme, güvenilir/güvenli sistem açılışı özelliklerini kullanın. Kritik donanımların üzerine, kurcalandığında anlaşılmasını sağlayan güvenlik bantı yapıştırın.
• Sistem ve denetim kayıtlarında taarruz belirtisi olup olmadığını denetim edin.
• Linux sisteminize sızma testi yapın

• Integrated Endpoint Security gibi, Linux müdafaası sağlayan özel bir güvenlik tahlili kullanın. Ağ müdafaası sunan bu tahlil, kimlik avı hücumlarını, ziyanlı web sitelerini ve ağ taarruzlarını tespit ediyor. Ayrıyeten kullanıcıların başka aygıtlara bilgi transferi için kurallar belirlemesine imkan veriyor.

• Geliştirme ve operasyon grupları için muhafaza sağlayan Kaspersky Hybrid Cloud Security; CI/CD platformları ve konteynerlere güvenlik entegrasyonu ve tedarik zinciri hücumlarına karşı tarama üzere imkanlar sunuyor.

Linux APT hücumlarına genel bir bakış ve güvenlik tekliflerinin daha detaylı açıklamaları için Securelist.com adresini ziyaret edebilirsiniz.

Hibya Haber Ajansı