Durante mucho tiempo se creyó que era prácticamente imposible que un virus u otro tipo malware impactaran a Linux. De hecho, se consideraba que los sistemas operativos basados en Linux eran la perfecta combinación entre las bondades del código abierto y una seguridad sólida. Sin embargo, los sistemas operativos basados en Linux ahora se ven cada vez más como un blanco de ataque valioso y viable.
Este cambio de pensamiento es en parte consecuencia de una creciente comprensión por parte de los aficionados a Linux y también de los administradores de sistemas, de que un sistema Linux comprometido, como un servidor web, proporciona a los atacantes un excelente "retorno de la inversión". Igual de importante, las investigaciones de malware realizadas en los últimos años le han dado una mayor visibilidad a las amenazas que enfrentan los sistemas Linux.
Todavía hay muchas razones que justifican la creencia popular que asocia a Linux con una mayor seguridad, aunque no perfecta. Sin embargo, es importante destacar que esta creencia no distingue entre las distintas distribuciones y casos de uso de sistemas basados en Linux, al tiempo que no tiene en cuenta la existencia de varias amenazas.
Las distribuciones de Linux para escritorio siguen siendo ampliamente superadas en número por los sistemas Windows (y también por las máquinas con macOS). Este estado de nicho sin dudas juega un papel en la relativa escasez de malware basado en Linux. Pero cambie su mirada sobre los servidores públicos y se volverá evidente que hay mucha más actividad maliciosa cocinándose a fuego lento bajo la tapa de Linux. Lo mismo podría decirse de todo tipo de dispositivos integrados, equipos de red y teléfonos inteligentes Android que, de alguna forma, también se basan en Linux.
Centrémonos aquí en los servidores, sobre todo porque llevan la peor parte de los ataques de malware contra sistemas basados en Linux. Las distribuciones Linux para servidores están en el corazón de la mayoría de los data centers y el sistema operativo es grande para empresas que tienen múltiples formas y tamaños. De hecho, gran parte de la web actual, incluidos los servidores operados por Google, Facebook y Twitter, funciona con Linux.
Por lo tanto, no debería sorprendernos que en la historia reciente se hayan visto ejemplos de daños causados por malware que comprometieron la instalación de un servidor Linux. Un servidor vulnerable es un blanco invaluable para varios tipos de acciones nefastas, incluido el robo de datos personales y credenciales de acceso, redirección de tráfico web, ataques DDoS y minería de criptomonedas. Es importante destacar que también se puede abusar del servidor para alojar servidores de comando y control (C&C) para otro código malicioso y para lanzar campañas de spam que desplieguen malware; especialmente malware dirigido a sistemas Windows.
Antecedentes
Ni siquiera es necesario irse muy lejos para encontrar ejemplos ilustrativos de huecos en la armadura de malware de Linux. Hace poco más de un año, investigadores de ESET expusieron una gran cantidad de backdoors OpenSSH, un arma elegida por los atacantes que buscan arrebatar a los administradores el control de los servidores. Los investigadores descubrieron 21 familias de malware basadas en Linux, incluida una docena que no se había documentado antes. Casi todas las cepas tenían funcionalidades de robo de credenciales y de backdoor.
Esta investigación fue el resultado de tres años de trabajo que finalmente ofreció información única sobre el ecosistema de malware de Linux. Sin duda, no fue un esfuerzo aislado, ni ocurrió de la nada. Los investigadores emprendieron la búsqueda con los conocimientos proporcionados por su galardonada investigación sobre la Operación Windigo, que había acorralado alrededor de 25,000 servidores, la mayoría de ellos con Linux, en una de las botnets de servidores más grandes que se haya conocido. Las máquinas comprometidas fueron utilizadas para el robo de credenciales, campañas de spam, redirección de tráfico web a contenido malicioso y otras acciones nefastas.
En el corazón de la campaña se había ejecutado, sin ser detectado durante al menos tres años, el backdoor de Linux/Ebury. Incluso antes de que esta pieza de malware se instalara en un servidor, los atacantes harían que Ebury verificara si el servidor ya estaba cargado con otro backdoor SSH. Fue esta rutina la que provocó la búsqueda de familias de malware OpenSSH activas in-the-wild.
A lo largo de los años, los investigadores de ESET han realizado otros descubrimientos que se agregaron al conjunto de conocimientos sobre el malware para servidores Linux. Entre otras cosas, se descubrió que Windigo estaba vinculado a uno de sus descubrimientos anteriores: Linux/Cdorked, uno de los backdoors más sofisticados dirigidos en ese momento a servidores web Linux Apache. Además, Windigo trajo recuerdos de la investigación de ESET sobre Mumblehard, otra botnet que zombificó a miles de servidores Linux y que finalmente fue eliminada en un esfuerzo internacional de aplicación de la ley con el apoyo de investigadores de ESET.
¿Cómo capturar el malware?
Los investigadores de ESET están ansiosos por compartir sus hallazgos con los profesionales de Linux, que pueden estar inadecuadamente entrenados para combatir el malware dirigido a servidores. La próxima Conferencia RSA 2020 contará con un taller realizado por el experimentado investigador de malware de ESET Marc-Etienne M.Léveillé, quien ha sido una figura central en la mayoría de las investigaciones descritas anteriormente. El taller de Marc-Etienne, Hunting Linux Malware for Fun and Flags, brindará a los administradores de sistemas y a otros profesionales de TI una excelente oportunidad para enfrentar la amenaza que supone el malware para Linux y aplicar las conclusiones en sus propios entornos de servidor.
Compartimos una entrevista que publicaremos con Marc-Etienne en la que nos brinda más detalles sobre el ecosistema de malware para Linux en la actualidad.