HiddenWasp attacca Linux: grave backdoor scoperta dà pieno controllo dei sistemi

HiddenWasp attacca Linux: grave backdoor scoperta dà pieno controllo dei sistemi

Una società di sicurezza informatica ha scoperto una nuova backdoor su sistemi Linux non rilevata da 59 sistemi antivirus. Secondo gli esperti dell'azienda urge aumentare gli sforzi nella sicurezza del sistema operativo

di pubblicata il , alle 17:21 nel canale Sicurezza
LinuxLinux
 

La firma di sicurezza Intezer ha riportato lo scorso mercoledì l'esistenza di HiddenWasp, un nuovo malware avanzato per Linux che è riuscito ad aggirare il rilevamento degli antivirus e che apparentemente è già stato utilizzato in attacchi estremamente mirati. HiddenWasp è in realtà un'intera suite malevola che include un trojan, un rootkit e uno script di distribuzione che non è stata rilevata, al tempo della scoperta, da nessuno dei 59 motori antivirus monitorati dal'azienda.

Secondo Intezer il malware è stato creato nel mese di aprile e pare che il server command and control utilizzato dalla suite per attaccare i sistemi affetti dal malware sia ancora attivo e funzionante. Grazie agli indizi analizzati l'azienda di sicurezza ha scoperto che il malware si trova al momento probabilmente in uno stadio avanzato dell'attacco, con gli aggressori che hanno già iniziato a servire un codice avanzato sui sistemi di interesse dopo aver inoculato una prima versione embrionale infettando i sistemi.

Con la più avanzata versione del pacchetto malevolo gli aggressori possono scaricare ed eseguire codice, caricare file ed eseguire diversi comandi con l'obiettivo di controllare da remoto in maniera profonda i computer infettati. Si tratta quasi di una novità su Linux, dove la maggior parte dei malware vengono utilizzati per attacchi DDoS o per il mining di criptovalute.

Ignacio Sanmillan di Intezer ha scritto: "I malware per Linux potrebbero introdurre nuove sfide mai viste su altre piattaforme. Il fatto che questo malware riesca a passare inosservato dovrebbe suonare come campanello d'allarme per l'industria di sicurezza, in modo che quest'ultima possa allocare maggiori sforzi e risorse per il rilevamento di queste minacce".

Una parte del codice utilizzato su HiddenWasp sembra essere preso in prestito da Mirai, mentre altre parti hanno aspetti simili rispetto a malware già consolidati nell'ambiente, come il rootkit Azazel o Winnti-Linux, porting della variante per Windows.

Dal rilascio della backdoor da parte di Intezer sono cresciute le rilevazioni da parte degli antivirus di HiddenWasp, anche se il tutto sta procedendo un po' a rilento. Mercoledì l'azienda ha anche rilasciato alcune informazioni per verificare la presenza dell'infezione sui propri sistemi, ad esempio la presenza di file "ld.so" che non contengono la stringa "/etc/ld.so.preload.". Questo è necessario per il funzionamento del malware, visto che l'attacco prevede la modifica delle istanze ld.so in modo da forzare le attività previste dall'aggressione.

Per un approfondimento trovate tutte le informazioni su HiddenWasp sul sito ufficiale Intezer.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LukeIlBello31 Maggio 2019, 17:38 #1
quanto ci scommetto che è systemd a favorire l'infezione.. nascondendo tutto il processo di init all'utonto che non controlla più cosa ci sta dentro /etc/init.d
LukeIlBello31 Maggio 2019, 17:52 #2
edit
Sandro kensan01 Giugno 2019, 01:59 #3
«To finalize, the script attempts to install reboot persistence for the trojan binary by adding it to /etc/rc.local.»

Io sul mio sistema non ho rc.local. Se prova a installarsi da me fallisce miseramente.
inited01 Giugno 2019, 11:38 #4
La "firma"? La ditta, vorrete dire.
phmk01 Giugno 2019, 17:05 #5

Inattaccabile Linux...

Per chi ci crede ancora 😁🤣😂
marcram01 Giugno 2019, 17:42 #6
Originariamente inviato da: phmk
Per chi ci crede ancora 😁🤣😂


E chi ci crede? Falso mito.
Più sicuro, sì.
Inattaccabile, no. Niente lo è.
emiliano8402 Giugno 2019, 09:05 #7
aald21302 Giugno 2019, 19:45 #8
Originariamente inviato da: LukeIlBello
quanto ci scommetto che è systemd a favorire l'infezione..


HiddenWasp è il tipico caso di sensazionalismo mediatico.

Estratti delle informazioni date dagli analisti:

"Unfortunately, I don't know what is the initial infection vector," Sanmillan told us. "Based on our research, it seems most likely that this malware was used in compromised systems already controlled by the attacker."

Hackers appear to compromise Linux systems using other methods, and then deploy HiddenWasp as a second-stage payload, which they use to control already-infected systems remotely.


Evidence shows in high probability that the malware is used in targeted attacks for victims who are already under the attacker’s control, or have gone through a heavy reconnaissance.


Basandosi sull'analisi sommaria, questo malware essenzialmente non ha assolutamente nulla di particolare; i malware per Linux non sono comuni, ma esistono da lungo tempo, e tra l'altro, questo non ha nessuna caratteristica innovativa.

Originariamente inviato da: LukeIlBello
nascondendo tutto il processo di init all'utonto che non controlla più cosa ci sta dentro /etc/init.d


Gli amministratori di sistema che vogliono esaminare gli script/daemon etc. eseguiti all'avvio possono farlo sia con SysV, che con Upstart, che con systemd; essere utonti non c'entra nulla.
Al massimo, è tonto chi pensa che l'avvio si possa esaminare solo con SysV.
aald21302 Giugno 2019, 19:48 #9
Originariamente inviato da: phmk
Per chi ci crede ancora 😁🤣😂


Nessun sistema è immune da virus, stai ridendo della scoperta dell'acqua calda.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^