“Linux/Shishiga”: malware Linux in evoluzione

Linux

Windows è storicamente nota per essere una delle “piattaforme bersaglio” preferite dai programmatori di software malevoli, detti comunemente virus o malware. Negli ultimi anni altri OS hanno però attirato l’interesse degli hacker, ad esempio Linux: trattandosi dell’OS sul quale si basa il sistema operativo mobile più diffuso (Android), oltre che buona parte delle tecnologie alla base del cloud, era infatti difficile che malintenzionati vari non cercassero di realizzare soluzioni di attacco “creative” per carpire dati sensibili e quant’altro.

Tra i malware che hanno raggiunto recentemente il Web ed hanno allertato gli esperti di sicurezza troviamo i cosiddetti “Linux/Shishiga” (nome scelto dagli stessi ricercatori), una nuova famiglia di worm sviluppata con il linguaggio di programmazione Lua ed in grado di mettere in mostra “interessanti” caratteristiche. I virus, in grado di utilizzare vari protocolli (HTTP, BitTorrent, Telnet, SSH), sono liberamente modificabili dagli esperti grazie ad un design marcatamente modulare, andando inoltre a perfezionare tecniche di attacco già adoperate da altri malware.

Struttura del malware e modalità di funzionamento

Il codice alla base del malware è raccolto all’interno di un pacchetto realizzato con la versione 3.91 di UPX (ultimate packer for executables). Il modulo “server.lua” ha lo scopo di creare un server HTTP ed appoggiarsi ad una porta (default la 8888) indicata nel file di configurazione “config.lua”.

Come affermato dagli stessi ricercatori, Lua sembra essere il linguaggio prediletto da chi intende lanciare APT – advanced persistent threat, ovvero attacchi che puntano a superare le difese di determinate macchine (a volte un singolo target) piuttosto che mirare al più elevato numero possibile di computer/device infettati.

Sebbene i Linux/Shishiga non inventino nulla di nuovo, offrono un’interessante “base” di partenza agli hacker. Nelle ultime settimane sono circolate numerose varianti del worm, ognuna delle quali destinata a molteplici architetutture (ARM, PowerPC, i686 etc.) e caratterizzate da piccoli anche se non sconvolgenti accorgimenti come l’eliminazione di file superflui o la modifica/aggiunta di alcuni moduli.

Il malware lancia dei semplici attacchi brute force basandosi su liste di password predefinite comunemente utilizzate – cerca quindi di “indovinare” username e passoword tentando tutte le combinazioni possibili. Da questo punto di vista il modus operandi dei Linux Shishiga, osservano i ricercatori, ricorda quello della famliglia Linux/Moose ma amplia il raggio d’azione delle pratiche brute forcing estendendole anche alle credenziali SSH.

Le potenzialità del malware

Gli esperti affermano che sebbene il numero di sistemi colpiti dai Linux/Shishiga sia esiguo, vi sono tutte le condizioni affinchè il malware riscontri un buon successo online. I moduli e le molteplici varianti rivelate dimostrano che è in atto una frenetica attività di sviluppo del “progetto”.

“A differenza del malware IoT Mirai, che punta alle credenziali predefinite di dispositivi IoT, l’attacco brute force [dei Linux/Shishiga] cerca di compromettere i computer Linux mirando alle password deboli scelte dagli utenti” afferma un ricercatore.

Allo stato attuale il virus non rappresenta una grave minaccia: gli utenti Linux sono nella maggior parte dei casi esperti e sanno bene che non è opportuno utilizzare password predefinite. Il design modulare lascia tuttavia aperta la possibilità di vedere sul breve termine un arricchimento del database di password o l’impiego di nuove modalità di attacco o entrambe, osserva un altro esperto di sicurezza.

Alcuni consigli utili

La raccomandazione più ovvia che gli esperti danno per difendersi da quest’ennesima variante dei malware Linux è non adoperare le credenziali predefinite Telnet/SSH: “I dispositivi IoT sono particolarmente vulnerabili agli attacchi brute force via SSH/Telnet perchè utilizzano password predefinite. Inoltre, i data center [sono obiettivi estremamente appetibili] e se [i malintenzionati] riescono ad utilizzarvi contro e con successo Shishiga, le compagnie avranno [seri problemi] a seguirne le tracce a meno che non dispongano di soluzioni in grado di analizzare le attività delle VM […]” afferma Vikram Kapoor (CTO Lacework).

E’ infine importante avere sotto controllo tutte le password memorizzate ed effettuarne all’occorrenza la modifica (nel caso si trattasse di combinazioni predefinite), anche quelle di utenti inattivi, in modo da non lasciare alcuna possibilità agli attacchi brute force del malware: “Difendersi da questa categoria di minacce richiede un [approccio che gli esperti di sicurezza promuovono ormai da tempo]: applicazione costante degli aggiornamenti, attenta analisi dei data log, ricerca di file e/o processi sospetti e [rigorosi piani di risposta ad incidenti di sicurezza]” afferma un ricercatore Eset.

Fonte: 1