Muchas organizaciones eligen Linux para los servidores y sistemas de importancia estratégica, en gran parte porque este sistema operativo se considera más seguro y menos propenso a las ciberamenazas que Windows. Aunque puede que este sea el caso de los ataques masivos de malware, no está tan claro cuando se trata de amenazas persistentes avanzadas (APT). Los investigadores de Kaspersky han identificado una tendencia en la que cada vez más actores de ciberamenazas ejecutan ataques dirigidos contra dispositivos basados en Linux y desarrollan herramientas más centradas en este sistema.

Se han detectado más de una docena de grupos que utilizan malware Linux, como Barium, Sofacy, the Lamberts o Equation, y campañas más recientes como LightSpy de TwoSail Junk, y WellMess. La diversificación de su arsenal con herramientas Linux permite a los ciberatacantes realizar operaciones de mayor alcance y eficacia.

Existe una tendencia significativa en muchos países a utilizar Linux como entorno de escritorio por parte de las grandes empresas y las Administraciones públicas, lo que ha incentivado a los ciberdelincuentes a desarrollar malware para esta plataforma. El mito de que es poco probable que Linux, por su menor popularidad, sea el blanco de programas maliciosos genera más ciberriesgos.

Aunque los ataques dirigidos a sistemas Linux siguen siendo poco comunes, no cabe duda de que existe malware diseñado para atacar estos sistemas, entre ellos webshells, puertas traseras, rootkits o incluso exploits diseñados a medida.

La poca frecuencia de este tipo de ataques es engañosa porque un ataque exitoso a un servidor Linux a menudo tiene consecuencias significativas. Por ejemplo, puede permitir a los atacantes no sólo acceder al dispositivo infectado, sino también a otros que ejecutan Windows o macOS, proporcionando así un acceso más amplio a los atacantes que podría pasar desapercibido.

Turla, un prolífico grupo de habla rusa, ha cambiado de forma significativa su conjunto de herramientas con el paso de los años, incluyendo el uso de puertas traseras de Linux. Según datos de Kaspersky, una nueva modificación de la puerta trasera dePenguin_x64 de Linux, detectada a principios de 2020, ha infectado docenas de servidores en Europa y Estados Unidos, continuando estos ataques por lo menos hasta el  julio.

Lazarus, un grupo habla coreana, sigue diversificando su conjunto de herramientas y desarrollando malware para sistemas diferentes a Windows. Kaspersky ha informado  sobre un framework multiplataforma conocido como MATA, y en junio de 2020 los investigadores analizaron nuevas muestras vinculadas a las campañas ‘Operation AppleJeus’ y ‘TangoDaiwbo” de Lazarus, utilizadas en ataques financieros y de ciberespionaje. Las muestras estudiadas incluían malware de Linux.

“La tendencia de mejorar las herramientas APT ha sido identificada por nuestros expertos muchas veces en el pasado, y las herramientas centradas en Linux no son una excepción. Con el fin de hacer más seguros sus sistemas, los departamentos de TI y seguridad utilizan Linux más a menudo que antes. Los actores de amenazas responden a esta realidad con la creación de sofisticadas herramientas capaces de penetrar en este tipo de sistemas. Recomendamos a los expertos en ciberseguridad a que presten atención a esta tendencia implementando medidas adicionales para proteger sus equipos y servidores”, ha comentado Yury Namestnikov, jefe del equipo global del equipo de análisis e investigación global de Kaspersky (GReAT) en Rusia.