カスペルスキー、複数の高度サイバー攻撃グループが、Linuxベースのシステムを標的にする傾向が増加していると注意喚起
- 2020/10/02 11:00
- SecurityInsight
カスペルスキーの調査チームは9月30日、複数の高度サイバー攻撃グループが、Linuxベースのシステムを標的にする傾向が増加していると注意喚起を行なった。その概要は以下のとおり。
それによると、Linuxベースのデバイスに対する標的型攻撃が増加の傾向にあり、攻撃を仕掛けるサイバー攻撃グループの増加とともに、Linuxに特化した攻撃ツールの開発も増えている。Linuxは一般的に利用されるWindows OSよりも安全でサイバー脅威の影響を受けにくいと考えられているが、高度サイバー攻撃(APT)に関しては異なる。
過去8年間で、12以上のAPTグループが、Linux向けのマルウェアもしくはLinuxベースのモジュールを攻撃に使用していることが確認されている。その中には、悪名高い攻撃グループ「Barium」「Sofacy」「the Lamberts」「Equation」による攻撃や、最近では「WellMess」マルウェアを使った攻撃活動、「TwoSail Junk」攻撃グループによる「LightSpy」マルウェアを利用した攻撃活動などが含まれている。
Linuxベースのシステムに対する標的型攻撃はまだ珍しいものの、Linux向けに設計されたウェブシェルやバックドア、ルートキット、さらには特注のエクスプロイトなどは確実に存在する。攻撃数が少ないことも誤解を招く一因となっているが、Linuxサーバーが侵害された場合の多くは重大な結果となっている。
例えば、秘密裏に情報を窃取する手口で多くの攻撃活動を行なってきたロシア語話者の攻撃グループ「Turla」は、ここ数年でLinux用バックドアを含めた攻撃のツールセットを大幅に変えている。2020年の初めに報告されたLinux用バックドアPenguin Turlaの亜種であるPenguin_x64は、カスペルスキーのテレメトリでは直近の2020年7月も含めて、欧州と米国で多数のサーバーの感染が判明している。
また、韓国語話者のAPTグループ「Lazarus」は、攻撃に使用するツールセットを多様化し続け、Windows以外を対象にしたマルウェアを開発している。6月にはLazarusが金銭目的およびスパイ目的の攻撃で使用した「Operation AppleJeus」攻撃活動と「TangoDaiwbo」攻撃活動につながる新しいマルウェアサンプルを分析した結果、Linux用のマルウェアが見つかっている。