Alla fine del mese di maggio scorso, il blog di Intezer, azienda americana di sicurezza informatica, ha dato notizia di aver scoperto un nuovo malware che agisce sui sistemi Linux, denominato HiddenWasp.
La particolarità di questa minaccia è che, a differenza dei soliti malware che interessano Linux, questa volta non è mirata a IoT, attacchi DDoS o crypto-mining, bensì al controllo remoto dei sistemi (cosa che la rende particolarmente difficile da individuare) ed utilizza codici di malware già esistenti come Mirai e Azazel rootkit.
Secondo gli esperti, il malware è composto da una suite di elementi comprendente un trojan, un rootkit e uno script iniziale, mediante il quale inizia il contagio accedendo al filesystem locale spiando e prendendo il controllo della macchina stessa.
La creazione di un nuovo account utente (SFTP) messa in atto dall’hacker, consentirà a quest’ultimo di continuare ad operare sulla macchina anche qualora HiddenWasp venisse rimosso. Va ricordato che questo nuovo malware, secondo Intezer, è stato creato sicuramente nel maggio scorso, ed anche per questo si tratta di un software malevolo di tipo zero-detection, ovvero mai scoperto dai sistemi antivirus.
Le prove raccolte dagli stessi Intezer Labs muovono dubbi sulle modalità reali di contagio. Questo perché molto probabilmente il malware viene utilizzato su sistemi già precedentemente compromessi e sotto il controllo degli hacker o, in alternativa, già sotto osservazione da tempo.
Ignacio Sanmillan, autore dell’articolo su HiddenWasp, parlando del malware scrive:
Abbiamo analizzato ogni componente di HiddenWasp spiegando come rootkit e trojan funzionino in parallelo al fine di rafforzare la persistenza nel sistema.
Abbiamo anche appreso come le diverse componenti […] hanno adattato diverse parti di codice [provenienti] da vari progetti opensource. Nonostante questo, le minacce sono riuscite a rimanere inosservate.
I malware Linux potrebbero introdurre nuove sfide […] che potremmo non aver mai visto su altre piattaforme. Il fatto che questo malware riesca a restare fuori dai radar dovrebbe essere una sveglia per l’industria della sicurezza web, e dovrebbe portare quest’ultima a fare maggiori sforzi e ad utilizzare maggiori risorse per scovare queste minacce.
I malware Linux continueranno a diventare più complessi col tempo: considerato che già le minacce più comuni non hanno una visibilità elevata, quelle più sofisticate ovviamente ne avranno ancora meno.”
Nel blog ufficiale Intezer è presente a tal proposito un’analisi dettagliata e punto per punto riguardante HiddenWasp.
Fonte: 1