ESET: trovate 21 “nuove” famiglie di malware per Linux

Nonostante Linux sia considerato uno dei sistemi operativi più sicuri, nel corso degli anni il numero di malware che prendono di mira il Pinguino sono aumentati, anche se in misura quasi infinitesimale se comparati a quelli sviluppati per Windows.

Numeri così bassi hanno fatto un po’ “abbassare la guardia” agli addetti ai lavori che tenderebbero a fare molta meno attenzione a questo aspetto di come non farebbero su una piattaforma Microsoft.

Questa settimana ESET ha pubblicato un interessantissimo paper di 53 pagine in cui espone nel dettaglio ben 21 “nuove” famiglie di malware per Linux, tutte che operano nella stessa maniera: sono versioni trojan del client OpenSSH.

E virgolettiamo “nuove” perché ESET ha scoperto che sono in circolazione indisturbate da oltre quattro anni!

Questi malware sono sviluppati come strumenti da deployare poi in più complesse botnet che rimpiazzano sul sistema attaccato la versione legittima di OpenSSH con quella malevola.

Di queste 21 famiglie:

  • 18 includono delle feature che sottraggono le credenziali (password e keys);
  • 17 includono delle backdoor che permettono di riconnettersi in qualunque momento alla macchina infetta.

ESET ammette però che, se sono arrivati a queste scoperte, è grazie ad un altro malware: Windigo.

Durante le analisi della botnet di Windigo e della sua backdoor Ebury, hanno scoperto che quest’ultima effettuava una scansione locale per individuare altre backdoor di OpenSSH.

In poche parole, Windigo riusciva a saperne più degli esperti di sicurezza perché i creatori avevano incluso nello script 40 hash di malware sviluppati da team concorrenti!

Sarà giunto il momento di installare antivirus anche su Linux?!

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.

4 risposte a “ESET: trovate 21 “nuove” famiglie di malware per Linux”

  1. Avatar sabayonino
    sabayonino

    Bah … grazie per l’avviso ma perchè non dite con quale di versione di OpenSSH è sorto il problema ? Guardando il paper ,sempre se non mi sono perso qualcosa , la versione più recente di

    OpenSSH è la 7.2p2 (ed inferiori) con la quale hanno fatto l’analisi

    “March 9, 2016

    All versions of OpenSSH prior to 7.2p2 with X11Forwarding
    enabled.
    Missing sanitisation of untrusted input allows an
    authenticated user who is able to request X11 forwarding
    to inject commands to xauth(1).”

    Attualmente la versione più recente è la 7.9p1 , ammettendo che qualche server utilizzi una versione antecedente … anche la 7.5p1 , questa cosa non sa da niente.

    Se ci sono macchine in giro per il web non aggiornate , non è colpa del “Sistema operativo” (vale anche per altre piattaforme)

    Diamo ad ESET un bel lecca-lecca per la scoperta ? o è uno dei tanti motivi per piazzare il suo prodotto in ambito server …

    www openssh com / security html

  2. Avatar JustATiredMan
    JustATiredMan

    mmm se richiede l’ssh x11 forwarding la vedo proprio dura… di default non è attiva praticamente in nessuna distribuzione.

  3. Avatar sabayonino
    sabayonino

    Quella che ho indicato è la versione più recente con cui loro sembra abbiano effettuato queste prove (le ultime pagine del paper). Poi posso sempre avermi perso qualche pezzo … ma non mi sembra.

    PS : Aaaahh qua mi puzza
    blogs . windows com / buildingapps / 2018 / 12 / 11 / windows-server-2019-includes-openssh/ #Zgw1Mei7pGu5jwme.97

  4. Avatar Kim ALLAMANDOLA

    > Sarà giunto il momento di installare antivirus anche su Linux?
    No.

    È invece giunto il momento di ricordarsi che ciò che è software+hardware è nella quasi totalità dei casi una porcata, in particolare se semiproprietario o proprietario. Ovvero i vari NAS, smart*, routers, … basati su GNU/Linux ma di fatto proprietari.

    Perché sono questi i dispositivi vulnerabili poiché sostanzialmente mai aggiornati ne aggiornabili e fuori dal controllo dell’utente facilmente con backdoor già preinstallate dalla fabbrica.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *