Linux.Wifatch, il malware buono che veglia sul nostro router?

Linux.Wifatch, il malware buono che veglia sul nostro router?

Nel mare di codice malevolo presente in rete e nei nostri dispositivi, sembra che vi sia un'eccezione: Linux.Wifatch sembra in grado di proteggere in qualche modo alcuni router in cui è stato scovato, come se fosse un guardiano.

di pubblicato il nel canale Sicurezza
 

Chi vigila sulle vulnerabilità informatiche - sono davvero in molti e distribuiti in diverse aziende specializzate - è abituato ormai a tutto. Giornalmente sono migliaia le varianti di malware individuate in una sconfinata tipologia di dispositivi, con team dedicati a porre l'attenzione su questo o quel pericolo per lo specifico dispositivo. Abituati a tutto, dicevamo, o quasi.

Perplessità, stupore e un po' di diffidenza. Questo devono aver provato alcuni specialisti in sicurezza di Symantec alla fine del 2014, quando si sono trovati di fronte un malware davvero particolare. Linux.Wifatch, questo il nome dato al presunto codice malevolo, è stato trovato proprio nel router di un ricercatore, stupito dal fatto che  quello che doveva essere un pericolo in realtà suggeriva all'utente di cambiare password, aggiornare il firmware e, come se non bastasse, riparava anche alcune vulnerabilità note.

Detto in altre parole: un "virus" che chiude da solo Telnet sul router per evitare infezioni e ci fa la paternale su password e aggiornamenti. Sulle prime sembra una barzelletta o un pesce d'aprile, ma è tutto vero. Nel mare di malware (e anche Linux.Wifatch tecnicamente lo è, essendosi di fatto installato illecitamente in diversi router domestici), pare che qualcuno abbia pensato a questo mezzo per alzare le difese contro malintenzionati e codici ben più malevoli.

Da allora Symantec (un report qui) ha studiato il codice e ad oggi non è stato registrato alcun comportamento sospetto se non quello emerso sulle prime, ovvero un atteggiamento da "guardiano". Linux.Wifatch si connette ad una rete P2P per aggiornare la lista delle minacce più note e dialoga con altre copie presenti su altri router e apparecchi IoT, mentre nel codice è stata trovata una sorta di firma che fa pensare a qualcuno del GNU Project, poiché viene ripresa la firma in mail che Stallman utilizza da un po' di tempo: "To any NSA and FBI agents reading this: please consider whether defending the U.S. Constitution against all enemies, foreign or domestic, requires you to follow Snowden's example."

Mancano per ora ulteriori dettagli, ma sembra ormai certo che dopo mesi di osservazione il comportamento di Linux.Wifatch sia esclusivamente benevolo. Certo, vi sono comunque specialisti in cui spicca la diffidenza, in quanto un comportamento di questo tipo potrebbe virare su qualcosa di ben più pericoloso in un futuro. Sono state infatti trovate alcune backdoor che lo sviluppatore o il team di sviluppatori potrebbero sfruttare per qualsiasi cosa, motivo per cui la guardia resta alta.

In queste immagini sono riassunti alcuni dati di diffusione del malware, anche se viene per ora difficile chiamarlo così nonostante la definizione tecnica. La maggiore diffusione è rilevata in Cina (32%), cui segue il Brasile (16%), Messico e India (9%), Vietnam, Italia e Turchia (7%), seguiti da Korea, USA (5%) e Polonia (3%). Attenzione a queste percentuali, poiché si riferiscono ai casi conclamati e alla loro diffusione, non che in Italia il 7% dei router è soggetto al "problema". Fra le non meglio precisate decine di migliaia di router in cui è stato trovato Linux.Wifatch, insomma, il 7% si trovano in Italia.

Passando alla diffusione per piattaforma architetturale, la parte più grossa (83%) spetta ad ARM, che troviamo sulla quasi totalità dei router consumer. Seguono molto distanti le architetture MIPS (10%) e SH4 (7%), ma è lecito attendersi aggiornamenti man mano che procede il processo di monitoraggio.

Altra anomalia di Linux.Wifatch è che il codice non è oscurato, ma semplicemente compresso. L'autore avrebbe potuto scegliere di celare il codice in maniera molto più solida, scegliendo diversi modi per nascondere il codice Perl con cui è scritto. Insomma, non c'era l'interesse a nascondersi più di tanto, fatto che ha ulteriormente incuriosito i perplessi ingegneri Symantec.

Fra le ipotesi dei ricercatori Symantec vi è quella che qualcuno abbia pensato ad una sorta di vigilante, alla vigilia della rivoluzione Internet Of Things in cui il router giocherà un ruolo chiave nelle nostre abitazioni. Il reset del router comporta la cancellazione di Linux.Wifatch, sebbene non è escluso che possa rientrare dalla finestra dopo non molto. Symantec consiglia di cambiare password e aggiornare il firmware per aumentare la sicurezza del proprio dispositivo, ovvero esattamente quello che consiglia lo stesso malware.

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
bobafetthotmail05 Ottobre 2015, 10:33 #1
Originariamente inviato da: articolo]qualcuno abbia pensato ad una sorta di vigilante, alla vigilia della rivoluzione Internet Of Things[/QUOTE]35 giorni di applausi ininterrotti e standing ovation.
Se mette un bottone per le donazioni lo pago anche.

Originariamente inviato da: articolo originale
However, cryptographic signatures are verified upon the use of the back doors to verify that commands are indeed coming from the malware creator. This would reduce the risk of the peer-to-peer network being taken over by others.
Le backdoor qui richiedono una chiave crittografica di accesso, non sono le solite NSA-friendly.

[QUOTE=articolo] Linux.Wifatch, questo il nome dato al presunto codice malevolo, è
trovato proprio nel router di un ricercatore[/B]
+
Originariamente inviato da: articolo originale]We believe that most of Wifatch&
over Telnet connections to devices using weak credentials[/B].

Niubbi... niubbi ovunque.
Pino9005 Ottobre 2015, 10:43 #2
Questo tizio sta facendo un favore all'umanità praticamente!
phaolo05 Ottobre 2015, 10:54 #3
Haha fantastico il virus benevolo XD
Peccato per la backdoor però..
lupin 3rd05 Ottobre 2015, 11:02 #4
a parte il fatto che con un minimo di esperienza chiunque capirebbe che è meglio chiudere telnet sull'esterno (e, al massimo, lasciarlo aperto solo in locale), quello che mi chiedo è: in ambito domestico che senso avrebbe tenere abilitato telnet?

e comunque non sono d'accordo con l'articolo con il fatto del reset: nella stragrande maggioranza dei router, essendo il firmware salvato su memoria flash, il codice non rimane fisso come nel caso dei pc (che hanno gli hard disk) ma rimane nella memoria RAM. A mio avviso è sufficiente spegnere e riaccendere il router.
bobafetthotmail05 Ottobre 2015, 11:56 #5
Originariamente inviato da: lupin 3rd
e comunque non sono d'accordo con l'articolo con il fatto del reset: nella stragrande maggioranza dei router, essendo il firmware salvato su memoria flash, il codice non rimane fisso come nel caso dei pc (che hanno gli hard disk) ma rimane nella memoria RAM. A mio avviso è sufficiente spegnere e riaccendere il router.
Flash != ROM.

Se pwni il firmware abbastanza da disattivare servizi e patcharlo, vuol dire che hai lo stesso accesso di scrittura che ha il firmware stesso.

Il grosso dei router hanno una partizione scrivibile della flash dove tengono i settaggi (strano eh). La chiamano NVRAM, e vari malware ci piazzano un loro script per avviarsi quando si avvia il router.

Se guardi nell'articolo originale, questo malware ha un modulo che setta certi dispositivi per riavviarsi ogni settimana, e lo scrittore specula che sia per difenderli in mancanza di armi migliori.

Quindi se si riavviano ogni settimana, e un riavvio leva questo malware "buono", cosa li riavvia a fare?
zappy05 Ottobre 2015, 13:31 #6
lo voglio, lo voglio!!!
come si fa a farsi infettare?
zappy05 Ottobre 2015, 13:32 #7
Originariamente inviato da: bobafetthotmail
Niubbi... niubbi ovunque.

effettivamente, complimenti al "ricercatore" ed a symantec...
v10_star05 Ottobre 2015, 15:48 #8
Originariamente inviato da: zappy
effettivamente, complimenti al "ricercatore" ed a symantec...


symantec, o meglio conosciuta come "il virus giallo" come non dimenticare il sav corporate

a parte tutto, apprezzabile l'idea di chiudere il telnet, di portscanner che si imputano sulla 23 ce ne sono a bizzeffe su internet, quasi più del protocollo sip e se l'utonto non cambia la password di default beccarla da dizionario è solo una questione di (poco) tempo
Therinai05 Ottobre 2015, 21:26 #9
UN virus che chiude la sessione telnet sarebbe buono? Ma prima di scrivere certe scemenze vi scoccia scrivere telnet su google? Se, tra le altre milla mila cose, si possono pubblicare articoli e post è grazie a telnet, anche nel 2015!
Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato... peccato che per far ciò ci vogliano come minimo ore! Mah, mi chiedo come si possa arrivare ad esternare tali assurdità. Per chi non ha ben chiaro di cosa si parli è un po' come dire ammazzo il segugio perché non mi attacchi le zecche, poi le prede me le vado a cercare per chilometri di sottobosco! Oppure mi amputo previamente un braccio perché se mi entra una scheggia sotto un unghia potrebbe potenzialmente andare in cancrena! Oppure do fuoco allo smartphone perché integra un gps e mi rende sempre localizzabile! E giah che ci siete staccate la targa dall'automobile! Ma che razza di scemenza...
Manuel00705 Ottobre 2015, 21:58 #10
Originariamente inviato da: Therinai
UN virus che chiude la sessione telnet sarebbe buono? Ma prima di scrivere certe scemenze vi scoccia scrivere telnet su google? Se, tra le altre milla mila cose, si possono pubblicare articoli e post è grazie a telnet, anche nel 2015!
Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato... peccato che per far ciò ci vogliano come minimo ore! Mah, mi chiedo come si possa arrivare ad esternare tali assurdità.


Io spero che tu sappia che il telnet è altamente insicuro, in quanto la password non viene criptata e qualsiasi furbone che si piazza con uno sniffer ti becca la pwd. E poi penso anche che tu sappia che esiste un'alternativa molto migliore: SSH, quindi per favore, la prossima volta che devi fare manutenzione, usa SSH e non telnet

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^