Foi-se o tempo em que a idéia de vírus ou outro malware atingir o Linux foi quase universalmente recebida com olhares interrogativos, se não totalmente rejeição. Há muito pensado como o casamento perfeito entre bens de código-fonte aberto e sistemas operacionais baseados em Linux fortes e com segurança Unix, agora são cada vez mais vistos como outro alvo valioso - e viável.

Essa mudança de pensamento é parcialmente o resultado de uma crescente percepção, tanto dos entusiastas do Linux quanto dos administradores de sistema, de que um sistema Linux comprometido, como um servidor da Web, oferece aos atacantes um excelente "retorno do investimento". Tão importante quanto isso, a pesquisa de malware nos últimos anos trouxe uma melhor visibilidade das ameaças enfrentadas pelos sistemas Linux.

É certo que ainda há mais do que um núcleo de verdade na sabedoria popular que associa o Linux a uma segurança melhor, embora não perfeita. Importante, no entanto, isso não consegue distinguir entre vários tipos e casos de uso de sistemas baseados em Linux, além de desconsiderar a existência de várias ameaças independentes de plataforma.

As distros do Linux para a área de trabalho continuam a ser amplamente superadas em número pelos sistemas Windows (e também pelas máquinas macOS, por sinal). Esse status de nicho certamente desempenha um papel na escassez relativa de malware baseado em Linux. Mas mude seu olhar para servidores públicos e fica aparente que há muito mais atividades maliciosas no mundo Linux. O mesmo poderia ser dito sobre todos os tipos de dispositivos incorporados, equipamentos de rede e smartphones Android que também são baseados no Linux de alguma forma.

Vamos nos concentrar nos servidores aqui, até porque eles suportam o maior número de ataques de malware contra sistemas equipados com Linux. As distribuições de servidores Linux estão no coração da maioria dos data centers e o sistema operacional é grande para empresas de várias formas e tamanhos. De fato, grande parte da web de hoje, incluindo servidores operados por empresas como Google, Facebook e Twitter, é alimentada por Linux.

Portanto, não é de surpreender que a história recente tenha visto poucos exemplos de danos causados por malware que comprometeram a instalação de um servidor Linux. Um servidor vulnerável é um alvo inestimável para vários tipos de ações nefastas, incluindo roubo de dados pessoais e credenciais de acesso, redirecionamento de tráfego da Web, ataques DDoS e mineração de criptomoedas. É importante ressaltar que o servidor também pode ser usado para hospedar servidores de comando e controle (C&C) para outros códigos maliciosos e para lançar campanhas de spam para eliminar malware - sim, especialmente malware direcionado a sistemas Windows.

Uma caminhada pela estrada da memória

Você nem precisa procurar muito exemplos instrutivos de brechas de segurança no Linux. Há pouco mais de um ano, pesquisadores expuseram uma enorme quantidade de backdoors OpenSSH que criminosos utilizavam para obter o controle de servidores de seus administradores. Os pesquisadores descobriram 21 famílias de malware baseadas em Linux, incluindo uma dúzia que nunca havia sido documentada antes. Quase todas as linhagens tinham funcionalidades de roubo de credenciais e backdoor.

Esta pesquisa foi o resultado de três anos de trabalho que eventualmente ofereceram informações exclusivas sobre o ecossistema de malware do Linux. Certamente, não foi um esforço isolado, nem ocorreu do nada. Os pesquisadores foram à caça armados com insights de suas pesquisas premiadas sobre a Operação Windigo, que encurralaram cerca de 25.000 servidores, a maioria deles com Linux, em uma das maiores botnets de servidores conhecidas. As máquinas comprometidas foram usadas para roubo de credenciais, campanhas de spam, redirecionamento de tráfego da Web para conteúdo malicioso e outras ações criminosas.

No centro da campanha, que havia sido detectada por pelo menos três anos, estava o backdoor Linux / Ebury. Mesmo antes da instalação desse malware em um servidor, os invasores solicitavam à Ebury que verifique se o servidor já está sobrecarregado com outro backdoor SSH. Foi essa rotina que levou à procura de famílias de malware OpenSSH. E o resto é história.

Ao longo dos anos, esses pesquisadores fizeram outras descobertas que adicionaram ao corpo de conhecimento sobre malwares para Linux. Entre outras coisas, descobriu-se que o Windigo estava vinculado a uma de suas descobertas anteriores - Linux / Cdorked, uma das backdoors mais sofisticadas voltadas para servidores web Linux Apache na época. Além disso, o Windigo trouxe lembranças da pesquisa  para o Mumblehard, outra botnet que zombificou milhares de servidores Linux e acabou sendo derrubada em um esforço internacional de aplicação da lei.