Спецпроекты

ПО Свободное ПО Безопасность Администратору Стратегия безопасности

Хакеры годами ломают серверы на Ubuntu, CentOS и Red Hat. Их не могут поймать

ИБ-эксперты обнаружили факт массового взлома Linux-серверов, продолжающегося с 2012 г. По их оценке, за этим стоит крупная китайская группа хакеров Winnti, в той или иной степени связанная с правительством КНР. Хакеры атакуют незащищенные серверы на базе CentOS, Ubuntu и Red Hat, и их деятельность пока не пресечена.

Linux-серверы под прицелом КНР

Хакеры, связанные с Китаем, в течение нескольких лет взламывали Linux-системы по всему миру, оставаясь при этом незамеченными. По оценке аналитиков компании BlackBerry, свою деятельность они ведут как минимум с 2012 г., и чаще всего их атакам подвергаются серверы на базе Ubuntu, CentOS и Red Hat.

Эксперты компании считают, что операции, проводимые хакерами, в той или иной степени связаны с интересами китайского правительства. Они взламывают системы из очень широкого спектра отраслей промышленности с целью кражи интеллектуальной собственности и сбора данных.

Как пишет ZDNet, тот факт, что об их деятельности никто не знал, позволял хакерам годами использовать одни и те же инструменты взлома, применяя их на уязвимых Linux-системах, давно не получавших обновление ПО. «Мы обнаружили факты массового взлома Linux-систем лишь недавно, но, по нашим данным, эти хакеры орудуют не менее семи-восьми лет. Это до смешного большой промежуток времени, в течение которого хакеры пользовались одними и теми же программами для взлома», – сказал представитель Blackberry Эрик Корнелиус (Eric Cornelius).

Почему именно Linux

По словам Корнелиуса, китайские хакеры сосредотачивали свои усилия на Linux-системах, поскольку эти ОС в меньшей степени ориентированы на пользователей, чем Windows, и потому ИБ-компании уделяют им меньше внимания. Отчасти, это тоже помогало хакерам скрывать свои преступления в течение почти целого десятилетия.

hack600.jpg
Хакеры из Китая регулярно взламывают серверы на Linux

Злоумышленники концентрировались на поиске и взломе серверов без актуальных патчей безопасности и запускали на них различное вредоносное ПО. За счет того, что они взламывали непосредственно серверы, а не подключенные к ним компьютеры, они тоже повышали свои шансы остаться незамеченными.

Работая напрямую с серверами, хакеры могли не только быстро скопировать нужную им информацию. В дополнение к этому они нередко оставляли для себя лазейки, позволяющие им в случае необходимости повторно подключаться к нужному серверу, без необходимости повторного обхода систем безопасности, и делать это так долго, пока бэкдор не будет скомпрометирован.

Единожды взломав сервер и обеспечив себе быстрый доступ к нему в дальнейшем, хакеры могли на протяжении месяцев и даже лет незаметно красть с него информацию. Это достигалось за счет того, что со стороны утечка данных выглядела как обычный веб-трафик.

Дополнительную секретность их действиям обеспечивал тот факт, что взломщики не наносили видимого урона. «Если бы они, к примеру, шифровали данные или требовали выкуп взамен украденной информации, то на их действия была бы какая-нибудь реакция. Но поскольку они никак не влияли на работу серверов, у их владельцев не было оснований подозревать, что они стали жертвами взлома. Это показывает высокий уровень профессионализма этих хакеров», – сказал Эрик Корнелиус.

Тайное стало явным

Несмотря на все меры предосторожности, предпринятые хакерами, они все же оставили след, который и привел экспертов BlackBerry к выводу об их связи в китайскими властями. По их словам, не все участвовавшие во взломах хакеры находились в пределах границ КНР – команда взломщиков, считают они, состоит из субподрядчиков, и некоторые из них не уделяли должного внимания безопасности, что и позволило выйти на них.

Специалисты BlackBerry уверены, что за взломами Linux-систем, начавшимися в 2012 г. и продолжающимися до сих пор, стоит Winnti – крупная хакерская организация из Китая, объединяющая несколько групп взломщиков, а также хакеров-одиночек. и образовавшаяся как минимум в начале прошлого десятилетия. Деятельность группировки пока не остановлена, и, по словам Корнелиуса, Linux-серверы все еще могут быть в фокусе ее внимания.

Корнелиус добавил, что существует единственный проверенный способ защититься от кражи информации. Он заключается в регулярном обновлении ПО серверов, в том числе и работающих на Linux, чтобы хакеры не могли использовать те же инструменты, что применяли три, пять и более лет назад.

Эльяс Касми

Короткая ссылка