RotaJakiro, una backdoor segreta che attacca Linux, ha eluso l’identificazione antivirus per anni

La sicurezza dei propri sistemi è sempre importante, e non avere alcun intruso a bordo fa parte dei controlli normalmente implementati per poter garantire quella sicurezza. Insomma, la scansione antivirus rimane un classico.
L’efficacia delle scansioni dipende dagli strumenti usati, tanto che la sensibilità (ovvero la capacità di identificare una minaccia) è il parametro più importante per la scelta di un antivirus. E succede che certe minacce rimangano nascoste, non rilevate da alcuno strumento. Talvolta, come nel caso in esame, per anni.

Da ZDNet apprendiamo che la Qihoo 360 Netlab, una socetà cinese di sicurezza informatica, il 25 marzo scorso ha identificato un malware che prende di mira specificamente i sistemi Linux, con tanto di comportamento diverso in caso di acquisizione di permessi di root o di utente semplice. Lo chiama RotaJakiro, e ne comincia un’approfondita analisi.
Lo scopo del malware pare essere la creazione di una backdoor sulle macchine, in modo che l’attaccante possa avere accesso, ma non sono (ancora) disponibili ulteriori dettagli. Ma è fuori discussione la cura con cui è stato preparato: sistema a plugin per poter essere estensibile, la già citata capacità di adattamento tra esecuzione normale e privilegiata, l’uso di criptazioni doppie e compressioni diverse per poter complicare l’identificazione.

La sorpresa viene quando 360 Netlab manda un campione del malware al servizio VirusTotal, che serve per testare il comportamento di circa 61 antimalware e antivirus presenti sul mercato. Ebbene: al tempo nessuno degli scanner usati era stato in grado di identificare la minaccia.
Non solo: lo stesso campione era stato già caricato altre volte, almeno dal maggio 2018.

Non è ancora chiaro quanto sia diffusa l’infezione, né se la botnet sia mai stata usata per portare attacchi. Ma pare improbabile sia stata semplicemente dormiente in questi anni. Intanto i produttori di antivirus stanno correndo ai ripari: al momento 29 dei 61 motori presenti su VirusTotal riescono a identificare RotaJakiro.

L’abbiamo già detto aggiornare, aggiornare, aggiornare? Beh, vale anche per l’antivirus!

Ho coltivato la mia passione per l'informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

Tags: , , , ,