Linux-plattformen har av mange blitt ansett som en vesentlig sikrere plattform enn både Windows og MacOS, men Linux-folket er ikke lenger skånet på samme måte som tidligere. Nå kommer Microsoft med nye advarsler, melder Techradar.
På sikkerhetsbloggen sin omtaler Windows-kjempen en skadevaretype ved navn XorDdos. Dette er en trojaner rettet mot Linux-plattformen som i inneværende år har økt med så mye som 254 prosent i omfang, ifølge Microsoft.
Retter seg mot IoT
XorDdos brukes i hovedsak til å bygge såkalte botnett ved hjelp av infiserte IoT-enheter, som ofte benytter seg av Linux-baserte operativsystemer.
Botnettene brukes til å utføre omfattende tjenestenektangrep (DDoS), men også til å kompromittere andre enheter for å gi bakmennene fjernkontroll over enhetene, skriver selskapet i sin rapport.
Som Digi.no har skrevet, har også sikkerhetsselskapet Crowdstrike tidligere identifisert XorDdos som en av de mest utbredte skadevarefamiliene på Linux-plattformen, med en økning på hele 123 prosent i fjor.
Totalt sett noterte selskapet seg en økning i Linux-skadevare på 35 prosent sammenlignet med året før. Det er nettopp det faktum at ondsinnede aktører i større grad retter seg mot IoT-infrastrukturer som anses som hoveddrivkraften bak oppgangen.
Ifølge Microsoft sprer XorDdos seg primært via angrep mot SSH-protokollen (secure shell). SSH er en av de vanligste nettverksprotokollene og brukes til kryptering av kommunikasjon over usikrede nettverk i administrasjonsøyemed. Protokollen blir en stadig mer populær angrepsvektor.
Kan levere annen skadevare
Angrepene er av «brute force»-typen, som i korte trekk innebærer å «gjette» seg frem til påloggingsdata for å gi bakmennene tilgang til serverne. Dette arbeidet utføres på en automatisert måte ved hjelp av bot-er. Metoden er både enkel og effektiv, påpeker Microsoft.
– Straks XorDdos identifiserer gyldige SSH-påloggingsdata, bruker den rotprivilegier til å kjøre et skript som laster ned og installerer XorDdos på målenheten, skriver Microsoft. Selskapet opplyser at programvaren også bruker ulike teknikker for å holde aktiviteten sin skjult, deriblant overskriving av sensitive filer.
I tillegg til å utføre tjenestenektangrep benyttes programvaren også til å levere andre typer skadevare, som bakdører og kryptominere, på de infiserte systemene. Den bruker også modulær kode, som innebærer at funksjonaliteten stadig er i endring.
– Ved å være god til å stjele sensitive data, installere rootkit, bruke ulike unnvikelses- og befestelsesmekanismer og utføre DDoS-angrep, setter XorDdos ondsinnede aktører i stand til å skape potensielt betydelige forstyrrelser på målsystemer. I tillegg kan XorDdos brukes til å bringe inn andre farlige trusler eller danne en vektor for oppfølgingsaktiviteter, skriver Microsoft.
Selskapet har ikke oppgitt detaljer om programvarens geografiske distribusjon og hvilke regioner som er hardest rammet. Flere tekniske opplysninger kan man finne i selskapets egen rapport.