Por muito tempo, acreditava-se que era praticamente impossível que um vírus ou outro tipo de malware causasse impacto no Linux. De fato, os sistemas operacionais baseados em Linux foram considerados como a combinação perfeita dos benefícios de um código aberto e uma segurança forte. No entanto, os sistemas operacionais baseados em Linux agora são cada vez mais vistos como um alvo valioso e viável de ataque.

Essa mudança de pensamento é, em parte, uma consequência de uma crescente compreensão dos fãs do Linux e também dos administradores de sistemas, de que um sistema Linux comprometido, como um servidor web, fornece aos atacantes um excelente "retorno do investimento". Tão importante quanto, as pesquisas sobre malware realizadas nos últimos anos deram maior visibilidade às ameaças que os sistemas Linux enfrentam.

Ainda existem muitos motivos que justificam a crença popular de associar o Linux a um melhor nível de segurança, embora não perfeita. No entanto, é importante observar que essa crença não faz distinção entre as diferentes distribuições e os casos de uso de sistemas baseados em Linux, sem levar em consideração a existência de várias ameaças.

As distribuições do Linux para computadores desktop ainda são amplamente superadas em número pelos sistemas Windows (e também pelas máquinas com macOS). Esse status de nicho, sem dúvida, desempenha um papel na escassez relativa de malware baseado em Linux. Mas se voltarmos o nosso olhar para os servidores públicos, ficará visível que há muito mais atividades maliciosas fervendo sob a tampa do Linux. O mesmo poderia ser dito de todos os tipos de dispositivos integrados, equipamentos de rede e smartphones Android que, de alguma forma, também são baseados no Linux.

Vamos nos enfocar nos servidores, especialmente porque eles carregam a pior parte dos ataques de malware contra sistemas baseados em Linux. As distribuições Linux para servidores estão no coração da maioria dos datacenters e o sistema operacional é ótimo para empresas que têm várias formas e tamanhos. De fato, grande parte da web atual, incluindo servidores operados pelo Google, Facebook e Twitter, funciona com Linux.

Portanto, não deveria nos surpreender que, recentemente, tenha ocorrido exemplos de prejuízos causados por malwares que comprometeram a instalação de um servidor Linux. Um servidor vulnerável é um alvo inestimável para vários tipos de ações maliciosas, incluindo roubo de dados pessoais e de login, redirecionamento de tráfego web, ataques DDoS e mineração de criptomoedas. É importante ressaltar que um servidor também pode ser usado para hospedar servidores de comando e controle (C&C) para outros códigos maliciosos e lançar campanhas de spam que propagam malware - especialmente malware direcionado para sistemas Windows.

Antecedentes

Não é necessário ir muito longe para encontrar exemplos ilustrativos de brechas na armadura do malware para Linux. Há pouco mais de um ano, os pesquisadores da ESET expuseram um grande número de backdoors OpenSSH, uma arma escolhida por atacantes que tentam roubar o controle de administradores de servidores. Os pesquisadores descobriram 21 famílias de malware baseadas em Linux, incluindo uma dúzia que não havia sido documentada antes. Quase todas as linhagens tinham funcionalidades de roubo de credenciais e backdoor.

Esta pesquisa foi o resultado de três anos de trabalho que finalmente ofereceram informações exclusivas sobre o ecossistema do malware para Linux. Sem dúvida, não foi um esforço isolado, nem aconteceu do nada. Os pesquisadores decidiram pesquisar com o conhecimento fornecido pela premiada pesquisa sobre a Operação Windigo, que tinha cerca de 25.000 servidores, a maioria deles com Linux, em uma das maiores botnets de servidores já conhecidas. As máquinas comprometidas foram usadas para roubar credenciais, campanhas de spam, redirecionar o tráfego web para conteúdos maliciosos, entre outras ações.

No coração da campanha, o backdoor Linux/Ebury havia sido executado sem ser detectado por pelo menos três anos. Mesmo antes da instalação desse malware em um servidor, os atacantes faziam com que o Ebury verificasse se o servidor já estava carregado com outro backdoor SSH. Foi esse processo que causou a busca por famílias de malware OpenSSH ativos in-the-wild.

Ao longo dos anos, os pesquisadores da ESET fizeram outras descobertas que foram adicionadas ao conjunto de conhecimentos sobre malware para os servidores Linux. Entre outras coisas, foi descoberto que o Windigo estava vinculado a uma das descobertas anteriores: Linux/Cdorked, um dos backdoors mais sofisticados direcionados aos servidores web Linux Apache. Além disso, Windigo trouxe de volta memórias da pesquisa da ESET sobre o Mumblehard, outra botnet que zombificou milhares de servidores Linux e acabou sendo eliminada em um esforço internacional de aplicação da lei com o apoio de pesquisadores da ESET.

Como capturar esse malware?

Os pesquisadores da ESET estão ansiosos para compartilhar suas descobertas com profissionais do Linux, que podem não ter treinamento adequado para combater malware direcionado a servidores. A próxima Conferência RSA 2020 contará com um workshop realizado pelo experiente pesquisador de malware da ESET, Marc-Etienne M.Léveillé, que foi uma figura central na maioria das pesquisas descritas acima. O workshop de Marc-Etienne, Hunting Linux Malware for Fun and Flags, fornecerá aos administradores de sistemas e outros profissionais de TI uma excelente oportunidade para enfrentar a ameaça representada pelo malware para Linux e aplicar as conclusões em seus próprios ambientes de servidor.