المصدر -
تختار العديد من الشركات النظام "لينكس" Linux للخوادم والأنظمة ذات الأهمية الاستراتيجية، لأسباب يأتي في مقدمتها أن نظام التشغيل هذا يُعتبر أكثر أمنًا وأقل عُرضة للتهديدات الرقمية من نظيره الأكثر شيوعًا "ويندوز" Windows. وربما يصحّ هذا الاعتبار في حالة الهجمات الجماعية بالبرمجيات الخبيثة، لكنه ليس كذلك تمامًا عندما يتعلق بالتهديدات المتقدمة المستمرة (APTs). وقد استطاع باحثو كاسبرسكي أن يحددوا توجّه المزيد من الجهات التخريبية نحو تنفيذ هجمات موجّهة ضد الأجهزة العاملة بأنظمة Linux، مع حرص تلك الجهات على تطوير المزيد من الأدوات التي تساعدها في الوصول إلى غايتها هذه.
ولوحظ أن أكثر من اثنتي عشرة جهة تخريبية من الجهات التي تقف وراء التهديدات المتقدمة المستمرة، ظلّت على مدار السنوات الثماني الماضية تستخدم برمجيات خبيثة أو بعض الوحدات المستندة إلى النظام Linux في استهداف الأجهزة العاملة بهذا النظام. وتشمل تلك الجهات بعض العصابات سيئة السمعة مثل Barium وSofacy وLamberts وEquation، بجانب حملات تخريبية أحدث مثل LightSpy التي نظمتها TwoSail Junk وWellMess. وتلجأ هذه الجهات إلى تعزيز ترساناتها بأدوات Linux للتمكّن من إجراء عملياتها التخريبية بفاعلية أكبر وعلى مدى أوسع.
وثمّة توجّه متنامٍ في الشركات الكبيرة والجهات الحكومية في العديد من البلدان نحو استخدام Linux في الأجهزة المكتبية، ما دفع بالجهات التخريبية إلى مواكبة هذا التوجّه بتطوير برمجيات خبيثة تستهدف هذا النظام. لكن استبعاد البعض لاحتمالات استهداف النظام Linux ببرمجيات خبيثة، باعتباره أقل شيوعًا، يستجلب مخاطر أمنية إضافية للمنشآت. ففي حين ما زالت الهجمات الموجّهة إلى الأنظمة المستندة على Linux غير شائعة، فهناك برمجيات خبيثة مصممة لها، بينها شيفرات ويب للتحكم عن بُعد (webshells) ومنافذ خلفية وأطقم أدوات وحتى أدوات استغلال معدلة.
وعلاوة على ذلك، لا تعني قلّة الهجمات انخفاض مستويات الخطر، فالاختراق الناجح لخادم يعمل بنظام Linux غالبًا ما يؤدي إلى عواقب وخيمة، تتضمن قدرة المهاجمين على الوصول إلى الجهاز المصاب وحتى إلى الأجهزة الطرفية التي تعمل بأنظمة أخرى مثل Windows أو macOS، ما يعني هجومًا أوسع مدى قد يمرّ دون أن يلاحظه أحد.
وكانت، على سبيل المثال، عصابة Turla النشطة والناطقة بالروسية والتي تشتهر بتكتيكات التسلل السرية، قد أجرت تغييرات جذرية في مجموعة أدواتها التخريبية على مر السنين، شملت استخدام المنافذ الخلفية لاختراق أنظمة Linux. وجرى الإبلاغ عن أحدث تلك التغييرات، والتي أجريت على المنفذ الخلفي Penguin_x64 Linux، في وقت سابق من العام 2020. ووفقًا لبيانات كاسبرسكي المجمعة عن بُعد، فإن هذا المنفذ المعدل تمكّن من إصابة عشرات الخوادم في أوروبا والولايات المتحدة في شهر يوليو الماضي وحده.
وتُعتبر Lazarus، عصابة التهديدات المتقدمة الناطقة بالكورية، مثالًا آخر على ذلك، إذ تواصل تنويع مجموعة أدواتها وتطوير برمجيات خبيثة تستهدف أنظمة غير Windows. فقد أبلغت Kaspersky كاسبرسكي حديثًا عن نظام متعدد المنصات يُسمى MATA، وفي يونيو الماضي، حلّل باحثون عينات جديدة مرتبطة بحملتي Operation AppleJeus وTangoDaiwbo اللتين تستخدمهما Lazarus في شنّ هجمات مالية وتجسسية. وقد تضمنت العينات التي خضعت للتحليل برمجيات خبيثة مصممة للنظام Linux.
وقال يوري ناميستنيكوف رئيس فريق البحث والتحليل العالمي في روسيا لدى كاسبرسكي، إن خبراء الشركة تمكنوا عدة مرات في الماضي من تحديد التوجهات المتمثلة بتحسين مجموعات الأدوات المخصصة لحملات APT، مشيرًا إلى أن هذا الأمر لم يستثنِ الأدوات التي تركّز على Linux، وأضاف: "تتجه أقسام تقنية المعلومات والأمن الرقمي نحو Linux أكثر من ذي قبل بهدف تأمين أنظمتها، لكن جهات التهديد تحرص على مواكبة هذا الأمر بإنشاء أدوات متطورة قادرة على اختراق الأنظمة المحكمة. ولهذا فإننا ننصح خبراء الأمن الرقمي بأخذ هذه التوجهات في الاعتبار وتنفيذ تدابير إضافية لحماية الخوادم والأجهزة في شركاتهم".
ويوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية، من أجل تجنّب الوقوع ضحية لهجوم موجّه على Linux من قبل جهة تهديد معروفة أو مجهولة:
• الاحتفاظ بقائمة من مصادر البرمجيات الموثوق بها وتجنّب استخدام قنوات التحديث غير المشفرة.
• تجنُّب تشغيل الشيفرات والنصوص البرمجية من مصادر غير موثوق بها؛ فالطرق المعلن عنها على نطاق واسع لتثبيت البرمجيات بأوامر برمجية مثل curl https://install-url | sudo bash تشكل كابوسًا أمنيًا.
• التأكد من أن إجراءات تحديث البرمجيات والتطبيقات فعّالة، مع الحرص على تفعيل الإعدادات التلقائية للتحديثات الأمنية.
• إعداد جدار حماية سليم، والتأكد من أنه يسجل نشاط الشبكة ويحظر جميع المنافذ غير المستخدمة، ويقلّل أثر الشبكة.
• استخدام مصادقة SSH القائمة على المفاتيح، وحماية المفاتيح بكلمات مرور.
• استخدام المصادقة الثنائية وتخزين المفاتيح الحساسة على أجهزة خارجية لتوليد الرموز (مثل Yubikey).
• استخدام عقدة شبكية منفصلة خارج نطاق الشبكة لمراقبة الاتصالات نظام Linux المارّة عبر الشبكة وتحليلها بشكل مستقل.
• الحفاظ على سلامة ملفات النظام القابلة للتنفيذ ومراجعة التغييرات الحاصلة في ملف التهيئة بانتظام.
• الاستعداد للهجمات المادية/الداخلية باستخدام التشفير الكامل للأقراص الصلبة، والتشغيل الجذري الآمن والموثوق به للنظام، وتركيب كاميرات مراقبة ظاهرة لمنع العبث في الأجهزة المهمة.
• إجراء عمليات تدقيق في النظام، والتحقق من السجلات بحثًا عن أية مؤشرات على هجوم ما.
• إجراء اختبارات اختراق على إعدادات Linux.
• استخدام حل أمني مخصص لحماية Linux، مثل Integrated Endpoint Security، لتقديم الحماية من مخاطر الويب والمخاطر الشبكية واكتشاف محاولات التصيد ومواقع الويب الخبيثة والهجمات الشبكية، إضافة إلى رصد محاولات التحكم في الأجهزة، ما يسمح للمستخدمين بتحديد قواعد نقل البيانات إلى الأجهزة الأخرى.
• يسمح الحلّ Kaspersky Hybrid Cloud Security بحماية عمليات التطوير البرمجي DevOps، ما يتيح دمج الأمن في منصات وحاويات CI/CD، وفحص الصور للكشف عن هجمات سلاسل التوريد.
يمكن الحصول على مزيد من المعلومات عن هجمات التهديدات المتقدمة على النظام Linux وتفاصيل أوفى للتوصيات الأمنية على Securelist.com.
ولوحظ أن أكثر من اثنتي عشرة جهة تخريبية من الجهات التي تقف وراء التهديدات المتقدمة المستمرة، ظلّت على مدار السنوات الثماني الماضية تستخدم برمجيات خبيثة أو بعض الوحدات المستندة إلى النظام Linux في استهداف الأجهزة العاملة بهذا النظام. وتشمل تلك الجهات بعض العصابات سيئة السمعة مثل Barium وSofacy وLamberts وEquation، بجانب حملات تخريبية أحدث مثل LightSpy التي نظمتها TwoSail Junk وWellMess. وتلجأ هذه الجهات إلى تعزيز ترساناتها بأدوات Linux للتمكّن من إجراء عملياتها التخريبية بفاعلية أكبر وعلى مدى أوسع.
وثمّة توجّه متنامٍ في الشركات الكبيرة والجهات الحكومية في العديد من البلدان نحو استخدام Linux في الأجهزة المكتبية، ما دفع بالجهات التخريبية إلى مواكبة هذا التوجّه بتطوير برمجيات خبيثة تستهدف هذا النظام. لكن استبعاد البعض لاحتمالات استهداف النظام Linux ببرمجيات خبيثة، باعتباره أقل شيوعًا، يستجلب مخاطر أمنية إضافية للمنشآت. ففي حين ما زالت الهجمات الموجّهة إلى الأنظمة المستندة على Linux غير شائعة، فهناك برمجيات خبيثة مصممة لها، بينها شيفرات ويب للتحكم عن بُعد (webshells) ومنافذ خلفية وأطقم أدوات وحتى أدوات استغلال معدلة.
وعلاوة على ذلك، لا تعني قلّة الهجمات انخفاض مستويات الخطر، فالاختراق الناجح لخادم يعمل بنظام Linux غالبًا ما يؤدي إلى عواقب وخيمة، تتضمن قدرة المهاجمين على الوصول إلى الجهاز المصاب وحتى إلى الأجهزة الطرفية التي تعمل بأنظمة أخرى مثل Windows أو macOS، ما يعني هجومًا أوسع مدى قد يمرّ دون أن يلاحظه أحد.
وكانت، على سبيل المثال، عصابة Turla النشطة والناطقة بالروسية والتي تشتهر بتكتيكات التسلل السرية، قد أجرت تغييرات جذرية في مجموعة أدواتها التخريبية على مر السنين، شملت استخدام المنافذ الخلفية لاختراق أنظمة Linux. وجرى الإبلاغ عن أحدث تلك التغييرات، والتي أجريت على المنفذ الخلفي Penguin_x64 Linux، في وقت سابق من العام 2020. ووفقًا لبيانات كاسبرسكي المجمعة عن بُعد، فإن هذا المنفذ المعدل تمكّن من إصابة عشرات الخوادم في أوروبا والولايات المتحدة في شهر يوليو الماضي وحده.
وتُعتبر Lazarus، عصابة التهديدات المتقدمة الناطقة بالكورية، مثالًا آخر على ذلك، إذ تواصل تنويع مجموعة أدواتها وتطوير برمجيات خبيثة تستهدف أنظمة غير Windows. فقد أبلغت Kaspersky كاسبرسكي حديثًا عن نظام متعدد المنصات يُسمى MATA، وفي يونيو الماضي، حلّل باحثون عينات جديدة مرتبطة بحملتي Operation AppleJeus وTangoDaiwbo اللتين تستخدمهما Lazarus في شنّ هجمات مالية وتجسسية. وقد تضمنت العينات التي خضعت للتحليل برمجيات خبيثة مصممة للنظام Linux.
وقال يوري ناميستنيكوف رئيس فريق البحث والتحليل العالمي في روسيا لدى كاسبرسكي، إن خبراء الشركة تمكنوا عدة مرات في الماضي من تحديد التوجهات المتمثلة بتحسين مجموعات الأدوات المخصصة لحملات APT، مشيرًا إلى أن هذا الأمر لم يستثنِ الأدوات التي تركّز على Linux، وأضاف: "تتجه أقسام تقنية المعلومات والأمن الرقمي نحو Linux أكثر من ذي قبل بهدف تأمين أنظمتها، لكن جهات التهديد تحرص على مواكبة هذا الأمر بإنشاء أدوات متطورة قادرة على اختراق الأنظمة المحكمة. ولهذا فإننا ننصح خبراء الأمن الرقمي بأخذ هذه التوجهات في الاعتبار وتنفيذ تدابير إضافية لحماية الخوادم والأجهزة في شركاتهم".
ويوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية، من أجل تجنّب الوقوع ضحية لهجوم موجّه على Linux من قبل جهة تهديد معروفة أو مجهولة:
• الاحتفاظ بقائمة من مصادر البرمجيات الموثوق بها وتجنّب استخدام قنوات التحديث غير المشفرة.
• تجنُّب تشغيل الشيفرات والنصوص البرمجية من مصادر غير موثوق بها؛ فالطرق المعلن عنها على نطاق واسع لتثبيت البرمجيات بأوامر برمجية مثل curl https://install-url | sudo bash تشكل كابوسًا أمنيًا.
• التأكد من أن إجراءات تحديث البرمجيات والتطبيقات فعّالة، مع الحرص على تفعيل الإعدادات التلقائية للتحديثات الأمنية.
• إعداد جدار حماية سليم، والتأكد من أنه يسجل نشاط الشبكة ويحظر جميع المنافذ غير المستخدمة، ويقلّل أثر الشبكة.
• استخدام مصادقة SSH القائمة على المفاتيح، وحماية المفاتيح بكلمات مرور.
• استخدام المصادقة الثنائية وتخزين المفاتيح الحساسة على أجهزة خارجية لتوليد الرموز (مثل Yubikey).
• استخدام عقدة شبكية منفصلة خارج نطاق الشبكة لمراقبة الاتصالات نظام Linux المارّة عبر الشبكة وتحليلها بشكل مستقل.
• الحفاظ على سلامة ملفات النظام القابلة للتنفيذ ومراجعة التغييرات الحاصلة في ملف التهيئة بانتظام.
• الاستعداد للهجمات المادية/الداخلية باستخدام التشفير الكامل للأقراص الصلبة، والتشغيل الجذري الآمن والموثوق به للنظام، وتركيب كاميرات مراقبة ظاهرة لمنع العبث في الأجهزة المهمة.
• إجراء عمليات تدقيق في النظام، والتحقق من السجلات بحثًا عن أية مؤشرات على هجوم ما.
• إجراء اختبارات اختراق على إعدادات Linux.
• استخدام حل أمني مخصص لحماية Linux، مثل Integrated Endpoint Security، لتقديم الحماية من مخاطر الويب والمخاطر الشبكية واكتشاف محاولات التصيد ومواقع الويب الخبيثة والهجمات الشبكية، إضافة إلى رصد محاولات التحكم في الأجهزة، ما يسمح للمستخدمين بتحديد قواعد نقل البيانات إلى الأجهزة الأخرى.
• يسمح الحلّ Kaspersky Hybrid Cloud Security بحماية عمليات التطوير البرمجي DevOps، ما يتيح دمج الأمن في منصات وحاويات CI/CD، وفحص الصور للكشف عن هجمات سلاسل التوريد.
يمكن الحصول على مزيد من المعلومات عن هجمات التهديدات المتقدمة على النظام Linux وتفاصيل أوفى للتوصيات الأمنية على Securelist.com.