Linux.Wifatch, il malware buono che veglia sul nostro router?
Nel mare di codice malevolo presente in rete e nei nostri dispositivi, sembra che vi sia un'eccezione: Linux.Wifatch sembra in grado di proteggere in qualche modo alcuni router in cui è stato scovato, come se fosse un guardiano.
di Alessandro Bordin pubblicato il 05 Ottobre 2015 nel canale SicurezzaChi vigila sulle vulnerabilità informatiche - sono davvero in molti e distribuiti in diverse aziende specializzate - è abituato ormai a tutto. Giornalmente sono migliaia le varianti di malware individuate in una sconfinata tipologia di dispositivi, con team dedicati a porre l'attenzione su questo o quel pericolo per lo specifico dispositivo. Abituati a tutto, dicevamo, o quasi.
Perplessità, stupore e un po' di diffidenza. Questo devono aver provato alcuni specialisti in sicurezza di Symantec alla fine del 2014, quando si sono trovati di fronte un malware davvero particolare. Linux.Wifatch, questo il nome dato al presunto codice malevolo, è stato trovato proprio nel router di un ricercatore, stupito dal fatto che quello che doveva essere un pericolo in realtà suggeriva all'utente di cambiare password, aggiornare il firmware e, come se non bastasse, riparava anche alcune vulnerabilità note.
Detto in altre parole: un "virus" che chiude da solo Telnet sul router per evitare infezioni e ci fa la paternale su password e aggiornamenti. Sulle prime sembra una barzelletta o un pesce d'aprile, ma è tutto vero. Nel mare di malware (e anche Linux.Wifatch tecnicamente lo è, essendosi di fatto installato illecitamente in diversi router domestici), pare che qualcuno abbia pensato a questo mezzo per alzare le difese contro malintenzionati e codici ben più malevoli.
Da allora Symantec (un report qui) ha studiato il codice e ad oggi non è stato registrato alcun comportamento sospetto se non quello emerso sulle prime, ovvero un atteggiamento da "guardiano". Linux.Wifatch si connette ad una rete P2P per aggiornare la lista delle minacce più note e dialoga con altre copie presenti su altri router e apparecchi IoT, mentre nel codice è stata trovata una sorta di firma che fa pensare a qualcuno del GNU Project, poiché viene ripresa la firma in mail che Stallman utilizza da un po' di tempo: "To any NSA and FBI agents reading this: please consider whether defending the U.S. Constitution against all enemies, foreign or domestic, requires you to follow Snowden's example."
Mancano per ora ulteriori dettagli, ma sembra ormai certo che dopo mesi di osservazione il comportamento di Linux.Wifatch sia esclusivamente benevolo. Certo, vi sono comunque specialisti in cui spicca la diffidenza, in quanto un comportamento di questo tipo potrebbe virare su qualcosa di ben più pericoloso in un futuro. Sono state infatti trovate alcune backdoor che lo sviluppatore o il team di sviluppatori potrebbero sfruttare per qualsiasi cosa, motivo per cui la guardia resta alta.
In queste immagini sono riassunti alcuni dati di diffusione del malware, anche se viene per ora difficile chiamarlo così nonostante la definizione tecnica. La maggiore diffusione è rilevata in Cina (32%), cui segue il Brasile (16%), Messico e India (9%), Vietnam, Italia e Turchia (7%), seguiti da Korea, USA (5%) e Polonia (3%). Attenzione a queste percentuali, poiché si riferiscono ai casi conclamati e alla loro diffusione, non che in Italia il 7% dei router è soggetto al "problema". Fra le non meglio precisate decine di migliaia di router in cui è stato trovato Linux.Wifatch, insomma, il 7% si trovano in Italia.
Passando alla diffusione per piattaforma architetturale, la parte più grossa (83%) spetta ad ARM, che troviamo sulla quasi totalità dei router consumer. Seguono molto distanti le architetture MIPS (10%) e SH4 (7%), ma è lecito attendersi aggiornamenti man mano che procede il processo di monitoraggio.
Altra anomalia di Linux.Wifatch è che il codice non è oscurato, ma semplicemente compresso. L'autore avrebbe potuto scegliere di celare il codice in maniera molto più solida, scegliendo diversi modi per nascondere il codice Perl con cui è scritto. Insomma, non c'era l'interesse a nascondersi più di tanto, fatto che ha ulteriormente incuriosito i perplessi ingegneri Symantec.
Fra le ipotesi dei ricercatori Symantec vi è quella che qualcuno abbia pensato ad una sorta di vigilante, alla vigilia della rivoluzione Internet Of Things in cui il router giocherà un ruolo chiave nelle nostre abitazioni. Il reset del router comporta la cancellazione di Linux.Wifatch, sebbene non è escluso che possa rientrare dalla finestra dopo non molto. Symantec consiglia di cambiare password e aggiornare il firmware per aumentare la sicurezza del proprio dispositivo, ovvero esattamente quello che consiglia lo stesso malware.
19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSe mette un bottone per le donazioni lo pago anche.
[QUOTE=articolo] Linux.Wifatch, questo il nome dato al presunto codice malevolo, è
Niubbi... niubbi ovunque.
Peccato per la backdoor però..
e comunque non sono d'accordo con l'articolo con il fatto del reset: nella stragrande maggioranza dei router, essendo il firmware salvato su memoria flash, il codice non rimane fisso come nel caso dei pc (che hanno gli hard disk) ma rimane nella memoria RAM. A mio avviso è sufficiente spegnere e riaccendere il router.
Se pwni il firmware abbastanza da disattivare servizi e patcharlo, vuol dire che hai lo stesso accesso di scrittura che ha il firmware stesso.
Il grosso dei router hanno una partizione scrivibile della flash dove tengono i settaggi (strano eh). La chiamano NVRAM, e vari malware ci piazzano un loro script per avviarsi quando si avvia il router.
Se guardi nell'articolo originale, questo malware ha un modulo che setta certi dispositivi per riavviarsi ogni settimana, e lo scrittore specula che sia per difenderli in mancanza di armi migliori.
Quindi se si riavviano ogni settimana, e un riavvio leva questo malware "buono", cosa li riavvia a fare?
come si fa a farsi infettare?
effettivamente, complimenti al "ricercatore" ed a symantec...
symantec, o meglio conosciuta come "il virus giallo" come non dimenticare il sav corporate
a parte tutto, apprezzabile l'idea di chiudere il telnet, di portscanner che si imputano sulla 23 ce ne sono a bizzeffe su internet, quasi più del protocollo sip e se l'utonto non cambia la password di default beccarla da dizionario è solo una questione di (poco) tempo
Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato... peccato che per far ciò ci vogliano come minimo ore! Mah, mi chiedo come si possa arrivare ad esternare tali assurdità. Per chi non ha ben chiaro di cosa si parli è un po' come dire ammazzo il segugio perché non mi attacchi le zecche, poi le prede me le vado a cercare per chilometri di sottobosco! Oppure mi amputo previamente un braccio perché se mi entra una scheggia sotto un unghia potrebbe potenzialmente andare in cancrena! Oppure do fuoco allo smartphone perché integra un gps e mi rende sempre localizzabile! E giah che ci siete staccate la targa dall'automobile! Ma che razza di scemenza...
Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato... peccato che per far ciò ci vogliano come minimo ore! Mah, mi chiedo come si possa arrivare ad esternare tali assurdità.
Io spero che tu sappia che il telnet è altamente insicuro, in quanto la password non viene criptata e qualsiasi furbone che si piazza con uno sniffer ti becca la pwd. E poi penso anche che tu sappia che esiste un'alternativa molto migliore: SSH, quindi per favore, la prossima volta che devi fare manutenzione, usa SSH e non telnet
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".