Los piratas informáticos chinos han estado explotando servidores Linux desde 2012

Los piratas informáticos han atacado y explotado durante mucho tiempo varios servidores Linux para el robo de datos y el robo de propiedad intelectual. Esto fue descubierto por Mora, que afirma que el grupo de piratas informáticos que lo respalda pueden ser autores chinos respaldados por el estado. Inicialmente, buscan servidores potenciales sin parches con vulnerabilidades, explotándolos para la exfiltración de datos y plantando puertas traseras para uso futuro.

Servidores Linux infectados
Servidores Linux infectados

¡Desde 2012!

Investigadores de Blackberry descubrió una nueva campaña de piratería que es enorme y que existe desde 2012. Los actores detrás de ella están vinculados a grupos apoyados por el estado chino, ya que están utilizando el malware Winnti. Esto fue utilizado en la década de 2010 por grupos chinos como APT17 para robar secretos corporativos y datos confidenciales. Esto puede ayudarles a clonar los productos originales a precios más económicos.

Los investigadores dicen que han estado en la oscuridad desde principios de 2010, ya que la información sobre herramientas que dejaron se remonta a 2012. Las herramientas de malware que utilizan no son tan sofisticadas ahora. Además, el grupo ha facilitado el acceso a estos servidores sin parches y ni siquiera ha actualizado sus herramientas desde la implementación. Los principales servidores a los que apuntaban estos piratas informáticos eran los de las bases Red Hat Enterprise, Ubuntu o CentOS.

Pero, ¿por qué Linux?

Linux no es ese producto orientado al consumidor. Es en bruto y lo utilizan principalmente los profesionales para crear cosas, en lugar de simplemente trabajar o jugar o transmitir películas. Y los que usan Linux probablemente sean profesionales. Entonces, por todas estas razones, las empresas de seguridad no se centrarán demasiado en Linux. Y si no hay soluciones de seguridad reforzadas disponibles, sería fácil de encontrar y colarse.

A diferencia de Windows, que recibe actualizaciones periódicas y un monitoreo constante por parte de software antivirus, los servidores no estarán fuertemente regulados. Y cualquier tráfico entrante y saliente debe considerarse normal, incluso si se trata de exfiltración de datos al servidor C2 de los piratas informáticos. Después de todo, los investigadores recomendaron la buena solución anticuada de aplicar parches siempre que sea posible y verificar periódicamente si hay actividad sospechosa.

A través de la: ZDNet