Malware Linux: il punto della situazione

Malware Linux: exploit OutlawCountry

Un estratto del manuale CIA dedicato all’exploit Linux OutlawCountry. Fonte: Wikileaks

Il sistema operativo Microsoft è da sempre considerato il “meno sicuro” della triade “MacOS, Windows, Linux” eppure, come ricorda Linux.com citando le rilevazioni di AV-Test, gli storici rivali dell’OS Redmond sono stati interessati nel 2016 da un incremento considerevole degli attacchi malware: +370% per MacOS e +300% per Linux, un valore triplicato rispetto a quello del 2015.

A supportare i report degli analisti anche le informazioni segrete pubblicate da Wikileaks a fine giugno 2017 ed estrapolate dal famigerato Vault7 CIA, un archivio privato nel quale erano presenti vari documenti di progetti pensati espressamente per operazioni di spionaggio informatico – Wannacrypt e Petya sono nati grazie al alla diffusione in Rete di file trafugati da un altro archivio segreto, quello dell’NSA.

Rinnovato interesse

Per diversi anni, ed in linea di massima è un’affermazione ancora condivisibile, i sostenitori di Linux hanno associato il maggior livello di sicurezza dell’OS alla sua natura open source che lasciava ampia libertà d’azione alla community incrementando le probabilità di individuare e correggere eventuali bug etc. – cosa che non avviene nell’ecosistema chiuso di Windows.

Il boom di Linux – che dall’essere sostanzialmente sconosciuto 10 anni fa in ambito server e consumer ha, meritatamente visto la lunga “gavetta”, conquistato le luci della ribalta – ha contribuito sicuramente ad attirare l’attenzione degli hacker. Android, il più diffuso e celebre sistema operativo per smartphone e tablet, è stato il primo ad aprire una crepa nell’aura di invulnerabilità Linux, osserva l’editorialista del portale.

Le ragioni dietro a questo primo intoppo sono varie ma possono essere riassunte in due punti: frammentazione dell’ecosistema Android e “leggerezze varie” degli sviluppatori di applicazioni e produttori di dispositivi vari: dai router fino alle telecamere di sorveglianza (“bucate” da Mirai e trasformate in una pericolosa botnet, ricorderanno alcuni) ed agli OS dei televisori di ultima generazione (Weeping Angel bypassava le TV Samsung), le varianti del sistema operativo ideato da Linus Torvald sono state infatti adottate quasi in ogni settore.

Sebbene il kernel Linux sia costantemente aggiornato, spesso ne vengono utilizzate versione “datate”; le aziende non tengono inoltre conto dei rischi insiti in misure di sicurezza inadeguate e/o elementari adottate nei vari device (opzioni ridotte all’osso, password di default facilmente recuperabili da appositi strumenti per il “brute force” etc.) e dall’impossibilità di aggiornare automaticamente i prodotti – il compito di scaricare l’aggiornamento, trasferirlo su una chiavetta usb e collegarlo al device è lasciato alla buona volonta dell’utenza, spesso poco sensibile a tematiche di sicurezza.

Linux e Vault7

Il 30 giugno 2017 Wikileaks ha sveltato l’esistenza dell’exploit OutlawCountry. La falla, custodita nell’archivio della CIA, era stata pensata per reindirizzare verso i server dell’agenzia il traffico di macchine che si appoggiano a Red Hat Embedded Linux e CentOS (distribuzione basata su RHEL, solo le versioni 6.x erano vulnerabili). L’exploit si avvale di una falla presente in una versione obsoleta (2.6.32) del kernel Linux a 64 bit.

A pochi giorni di distanza è apparso sulle pagine di Wikileaks anche il manuale di Gyrfalcon, un programma che, dopo essere stato installato con successo via root kit in un sistema operativo Linux (Centos, Suse, RHEL, Debian, Ubuntu), è in grado di carpire non solo le credenziali di accesso utilizzate durante una sessione SSH attiva ma anche di recuperarne parte del o l’intero traffico generato.

Malware Linux in cifre

In chiusura una serie di dati estrapolati dai rapporti redatti da AV-Test e dal WatchGuard Technologies Internet Security Report:

  • il 24.4% degli attacchi malware lanciati nel 2016 sono stati indirizzati a Linux e MacOS. Nella percentuale Linux è escluso Android che ha raccolto da solo il 5.65%, valore raddoppiato rispetto al 2015;
  • nel 2016 il malware Android CopyCat ha infettato  circa 14 milioni di device;
  • sono stati almeno 640 milioni i malware attivi nel corso del 2016;
  • nel primo trimestre (Q1) del 2017  Windows ha raccolto il 77% degli attacchi malware lanciati;
  • il 36% dei malware individuati nel Q1 2017 hanno attacco Linux. Server e dispositivi intelligenti (come le telecamere di sorveglianza “bucate” da Mirai) i bersagli preferiti dagli hacker.

Fonte: 1