Новый Linux-имплант Quasar Linux угрожает не только отдельным рабочим станциям, но и всей цепочке разработки ПО. Эксперт «Группы Астра» рассказал, как должна строиться защита от таких атак.
Вредоносный набор нацелен на среды, где создают, собирают и публикуют код, поэтому украденные доступы могут быстро превратиться в атаку на пользователей популярных репозиториев и облачных сервисов.
Эксперты Trend Micro исследовали ранее не описанный имплант Quasar Linux, также известный как QLNX. Вредоносная программа сочетает функции руткита, бэкдора и инструмента для кражи учетных данных. По данным компании, QLNX разворачивают в средах разработки и DevOps, связанных с npm, PyPI, GitHub, AWS, Docker и Kubernetes, подробнее пишет Securitylab.
Главная опасность такого подхода связана с доступом к ключам, токенам и настройкам, которые лежат в основе сборки и доставки ПО. Получив контроль над рабочей станцией разработчика, злоумышленники могут обойти часть корпоративных средств защиты и использовать украденные данные для публикации зараженных пакетов в открытых репозиториях.
QLNX рассчитан на скрытную работу и долгую жизнь в системе. Имплант работает в памяти, удаляет исходный бинарный файл с диска, чистит журналы, маскирует имена процессов и стирает следы, которые могли бы помочь при расследовании. Trend Micro указывает, что вредоносная программа прямо на зараженном хосте компилирует компоненты руткита и PAM-модули для бэкдора через GNU Compiler Collection.
Trend Micro не раскрыла сведения о конкретных атаках и не связала QLNX с какой-либо группировкой. Масштаб применения импланта пока неизвестен.
Ситуацию прокомментировал эксперт первой российской платформы для работы с кодом, руководитель продукта GitFlic (входит в «Группу Астра») Кирилл Довгаль.
«История с Quasar Linux показывает, что атаки на цепочку поставки ПО все чаще начинаются не с эксплуатации уязвимости в самом приложении, а с компрометации рабочего места разработчика или DevOps-инженера. Очевидно, что защита должна строиться не вокруг одного антивируса или одного сканера, а вокруг всего контура разработки. Например, наша платформа GitFlic помогает снизить такие риски за счет управляемого процесса внесения изменений: запросов на слияние, обязательных одобрений, проверки статуса CI/CD-конвейера перед merge, отчетов безопасности и контроля доступа к веткам. Это позволяет не пропускать изменения в целевые ветки без ревью и автоматизированных проверок.
Отдельное важное направление — анализ кода и зависимостей. Для минимизации ИБ-инцидентов в разработке в российских Devops-платформах должны применяться практики РБПО, которые включают в себя необходимый набор суверенных инструментов/анализаторов и антивирусное сканирование.
Также не менее критична работа с секретами. В таких атаках основной ущерб часто возникает после кражи токенов, ключей и конфигураций. В таких случаях разработчикам может помочь технологическое объединение инструментов для защиты всего supply chain. Здесь GitFlic может использоваться вместе со StarVault — российским решением класса HashiCorp Vault для централизованного хранения секретов.
Важно понимать, что ни одна DevSecOps-платформа сама по себе не «лечит» уже зараженную рабочую станцию. Но в свою очередь помогает уменьшить последствия таких инцидентов: ограничить неконтролируемые изменения в коде, встроить проверки безопасности в CI/CD, выявлять секреты до попадания в репозиторий, анализировать зависимости и хранить чувствительные данные во внешнем защищенном хранилище. Именно такой комплексный подход нужен для защиты современной цепочки поставки ПО».
Кирилл Довгаль, руководитель продукта GitFlic (входит в «Группу Астра»)