Geçtiğimiz sekiz yıl içinde bir düzineden fazla APT’nin Linux ziyanlı yazılımları ve Linux tabanlı modüller kullandığı görüldü. Bunlar ortasında Barium, Sofacy, Lamberts ve Equation üzere tanınmış tehdit kümeleri yer aldı. Son periyotta gerçekleşen WellMess ve TwoSail Junk isimli küme tarafından düzenlenen LightSpy üzere ataklar da bu işletim sistemini gaye aldı. Tehdit kümeleri elindeki silahları Linux araçlarıyla çeşitlendirerek daha fazla bireye daha tesirli formda erişebiliyor.
Büyük kurumsal şirketler ve devlet kurumları ortasında Linux’u masaüstü ortamı olarak kullanma konusunda önemli bir eğilim var. Bu da tehdit kümelerini bu platforma yönelik ziyanlı yazılım geliştirmeye itiyor. Daha az tanınan bir işletim sistemi olan Linux’un ziyanlı yazılımların amacı olmayacağı fikri ortaya yeni siber güvenlik riskleri çıkarıyor. Linux tabanlı sistemlere yönelik amaçlı akınlar çok sık görülmese de bu platform için tasarlanan uzaktan denetim kodları, art kapılar, müsaadesiz erişim sağlayan yazılımlar ve hatta özel açıklar bulunuyor. Akın sayısının az olması aldatıcı olabiliyor. Linux tabanlı sunucular ele geçirildiğinde çok önemli sonuçlar ortaya çıkabiliyor. Saldırganlar sırf sızdıkları aygıta değil Windows yahut macOS kullanılan uç noktalara da erişebiliyor. Bu da saldırganların fark edilmeden daha çok yere ulaşmasını sağlıyor.
Örneğin, kapalı data sızdırma metotlarıyla bilinen ve Rusça konuşan bireylerden oluşan Çeşitle isimli küme, kullandığı araç setini yıllar içinde değiştirerek Linux art kapılarından da yararlanmaya başladı. 2020’nin birinci aylarında raporlanan Penguin_x64 isimli Linux art kapısının yeni bir sürümü, Temmuz 2020 prestijiyle Avrupa ve ABD’de onlarca sunucuyu etkiledi.
Korece konuşan bireylerden oluşan Lazarus isimli APT kümesi ise araç setini çeşitlendirerek Windows dışındaki platformlarda da kullanılabilen ziyanlı yazılımlar geliştirmeye devam ediyor. Kaspersky yakın vakit evvel, MATA isimli çok platformlu ziyanlı yazılım çerçevesi hakkında bir rapor yayınladı. Haziran 2020’de ise araştırmacılar Lazarus’un finans kuruluşlarını gaye aldığı casusluk akınları “Operation AppleJeus” ve “TangoDaiwbo” ile ilişkili yeni örnekleri tahlil etti. Tahlil sonucunda örneklerin Linux ziyanlı yazılımları olduğu görüldü.
Kaspersky Küresel Araştırma ve Tahlil Grubu Rusya Yöneticisi Yury Namestnikov, “Uzmanlarımız geçmişte de APT’lerin kullandıkları araçları daha geniş bir yelpazeye yaydığını tekraren görmüştü. Linux odaklı araçlar da bu çeşit eğilimlerde tercih ediliyor. Sistemlerini inançlı hale getirmeyi amaçlayan BT ve güvenlik departmanları Linux’u daha evvel hiç olmadığı kadar kullanmaya başladı. Tehdit kümeleri da buna bu sistemi amaç alan gelişmiş araçlarla karşılık veriyor. Siber güvenlik uzmanlarına bu eğilimi ciddiye almalarını, sunucularını ve iş istasyonlarını korumak için ek güvenlik tedbirleri almalarını öneriyoruz.” dedi.
