La reciente identificación de WolfsBane y FireWood, dos sofisticados backdoors para Linux, subraya una preocupante tendencia: los grupos avanzados de amenazas persistentes (APT) están dirigiendo su atención hacia este sistema operativo. Según investigadores de ESET, WolfsBane, desarrollado por el grupo chino Gelsemium, es una adaptación de malware previamente diseñado para Windows, mientras que FireWood parece ser un recurso compartido entre múltiples grupos APT. Este giro responde a la creciente adopción de Linux en entornos empresariales y a las mejoras en la seguridad de Windows.

Este artículo explora las características técnicas de estos malware, su impacto potencial y lo que esto significa para la ciberseguridad empresarial.

El perfil técnico de WolfsBane.

WolfsBane es un backdoor altamente modular que incluye:

  • Dropper: Introduce el malware al sistema, disfrazado como un componente del escritorio KDE, y desactiva configuraciones de seguridad como SELinux para ganar persistencia.
  • Launcher: Carga componentes como el módulo de privacidad udevd y tres bibliotecas encriptadas con funciones esenciales.
  • Rootkit: Basado en una versión modificada del rootkit BEURK, oculta procesos, archivos y tráfico de red, ayudando al malware a operar sin detección.

El malware recibe comandos desde un servidor de comando y control (C2), lo que le permite realizar operaciones como manipulación de archivos, exfiltración de datos y modificación del sistema, replicando la funcionalidad de su contraparte en Windows, Gelsevirine.

Flujo de ejecución de WolfsBane.

FireWood: una herramienta versátil para el espionaje

Aunque su relación con Gelsemium no está completamente confirmada, FireWood destaca por sus capacidades avanzadas:

  • Backdoor: Ofrece funciones como ejecución de comandos, carga de bibliotecas y exfiltración de datos.
  • Persistencia: Usa un archivo de autoinicio (gnome-control.desktop) para ejecutarse automáticamente al iniciar el sistema.
  • Rootkit a nivel de kernel: El módulo usbdev.ko permite ocultar procesos, ampliando su capacidad para operar de forma encubierta.

FireWood parece una evolución del proyecto «Project Wood,» con raíces que se remontan a 2005, consolidando su lugar como herramienta clave para espionaje a largo plazo.

Factores detrás del aumento de amenazas en Linux.

ESET y otros expertos señalan que el creciente enfoque en Linux responde a varios factores:

  1. Mejoras en la seguridad de Windows: Herramientas como EDR y la desactivación de macros VBA por defecto han obligado a los atacantes a diversificar sus objetivos.
  2. Aumento en la adopción de Linux: Empresas están utilizando Linux para servidores, tanto locales como en la nube.
  3. Mejor detección de amenazas: La madurez de herramientas de seguridad para Linux está exponiendo ataques previamente no detectados.

Un ejemplo notable es el incremento de backdoors sofisticados como XZ/Liblzma, diseñado para comprometer cadenas de suministro. Estas amenazas subrayan la necesidad de reforzar las defensas de Linux para evitar brechas críticas.

Comandos para Linux (Izquierda) y Windows backdoors (Derecha)

Implicaciones para la ciberseguridad empresarial.

Los incidentes de WolfsBane y FireWood evidencian la necesidad urgente de estrategias robustas de ciberseguridad:

  • Monitoreo constante: Implementar soluciones avanzadas como SIEM que detecten comportamientos anómalos.
  • Actualizaciones frecuentes: Asegurar que las vulnerabilidades conocidas sean parcheadas en tiempo real.
  • Capacitación del personal: Sensibilizar a los equipos sobre tácticas emergentes y mejores prácticas de seguridad.

El surgimiento de malware como WolfsBane y FireWood marca un punto de inflexión en el panorama de ciberamenazas. A medida que los atacantes se adaptan a entornos más seguros en Windows, es imperativo que las organizaciones que dependen de Linux refuercen sus defensas para mitigar riesgos.

Fuente: https://www.darkreading.com/threat-intelligence/chinese-apt-gelsemium-wolfsbane-linux-variant