複数の高度サイバー攻撃グループが、Linuxベースのシステムを標的にする傾向が増加

[本リリースは、2020年9月10日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyの調査チームは、Linuxベースのデバイスに対する標的型攻撃が増加の傾向にあるとみています。攻撃を仕掛けるサイバー攻撃グループの増加とともに、Linuxに特化した攻撃ツールの開発も増えています。 Linuxは、一般的に利用されるWindows OSよりも安全でサイバー脅威の影響を受けにくいと考えられており、多くの企業や組織は戦略的に重要なサーバーおよびシステムのOSにLinuxを選んでいます。このことは、大規模なマルウェア攻撃については当てはまりますが、高度サイバー攻撃（APT）に関しては異なります。

過去8年間で、12以上のAPTグループが、Linux向けのマルウェアもしくはLinuxベースのモジュールを攻撃に使用していることが確認されています。その中には、悪名高い攻撃グループ「Barium」「Sofacy」「the Lamberts」「Equation」による攻撃や、最近では「WellMess」マルウェアを使った攻撃活動、「TwoSail Junk」攻撃グループによる「 LightSpy」マルウェアを利用した攻撃活動などが含まれています。Linuxツールによる攻撃手段の多様化によって、サイバー攻撃者はより効果的に、そしてより広範囲にわたる攻撃活動を実行することができています。

多くの大企業や政府機関がLinuxをデスクトップ環境に使う傾向にあり、このことが攻撃グループがLinux向けのマルウェアを開発する要因となっています。現時点では、Linuxはあまり普及していないOSであるため、マルウェアの標的になりにくいという誤った通念が、さらなるサイバーセキュリティのリスクを招いています。Linuxベースのシステムに対する標的型攻撃はまだ珍しいものの、Linux向けに設計されたウェブシェルやバックドア、ルートキット、さらには特注のエクスプロイトなどは確実に存在します。攻撃数が少ないことも誤解を招く一因となっていますが、Linuxサーバーが侵害された場合の多くは重大な結果となっています。

例えば、秘密裏に情報を窃取する手口で多くの攻撃活動を行ってきたロシア語話者の攻撃グループ「Turla」は、ここ数年でLinux用バックドアを含めた攻撃のツールセットを大幅に変えています。2020年の初めに報告されたLinux用バックドアPenguin Turlaの亜種であるPenguin_x64は、当社のテレメトリでは直近の2020年7月も含めて、欧州と米国で多数のサーバーの感染が判明しています。

また、韓国語話者のAPTグループ「Lazarus」は、攻撃に使用するツールセットを多様化し続け、Windows以外を対象にしたマルウェアを開発しています。当社は今年の7月に、「MATA」と名付けたLinuxを含むマルチプラットフォーム対応のマルウェアフレームワークについての調査結果を発表しました。6月にはLazarusが金銭目的およびスパイ目的の攻撃で使用した「Operation AppleJeus」 攻撃活動と「TangoDaiwbo」攻撃活動につながる新しいマルウェアサンプルを分析した結果、Linux用のマルウェアが見つかっています。

Kasperskyのグローバル調査分析チーム（GReAT）ユーリ・ナメスニコフ（Yury Namestnikov）は、次のように述べています。「APTで利用するツールセットを拡張する傾向は、過去に何度も当社エキスパートが確認しており、Linux用のツールも例外ではありません。自社のシステムを保護しようと、IT部門やセキュリティ部門はこれまでになくLinuxを頻繁に利用するようになっていますが、攻撃者はそれに対してLinuxシステムに侵入できる高度なツールを作成しています。サイバーセキュリティの専門家は、この傾向を考慮してサーバーやワークステーションを保護するための追加対策を講じることをお勧めします」

詳細は、Securelistブログ（英語）「An overview of targeted attacks and APTs on Linux」をご覧ください。