I ricercatori di Nextron Systems hanno recentemente scoperto un malware silenzioso e radicato internamente alla logica di autenticazione di Linux. Parliamo di Plague, una backdoor che colpisce direttamente PAM (Pluggable Authentication Modules) ovvero il set di librerie responsabile del processo di autenticazione sui sistemi Linux.

Il ricercatore di Nextron System Pierre-Henri Pezier ha descritto il malware nel seguente modo

Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.

Plague si integra profondamente nello stack di autenticazione, sopravvive agli aggiornamenti di sistema
e non lascia quasi nessuna traccia forense. In combinazione con l’offuscamento a più livelli e la manomissione dell’ambiente, questo lo rende eccezionalmente difficile da rilevare utilizzando strumenti tradizionali.

Ma perché questo malware è così pericoloso?

Stando ai ricercatori, Plague e le sue varianti sono state sottoposte ad analisi da antivirus ed engine di detection come VirusTotal e non è mai stato segnalato come malevolo. Uniamo a questo il fatto che il malware è radicato ad uno dei sistemi core di Linux e possiamo capirne le sue effettive potenzialità.

E come funziona?

Plague nella pratica attacca PAM nascondendosi come modulo malevolo libselinux.so.8 (che viene caricato dinamicamente essendo uno shared object) e infiltrandosi tramite le chiamate pam_sm_authenticate() durante il processo di autenticazione. Per rimanere non tracciabile, gli attaccanti hanno istruito il codice per eliminare variabili d’ambiente come SSH_CONNECTION e SSH_CLIENT e reindirizzare il file HISTFILE su /dev/null così da eliminare ogni traccia di log.

Un altro punto di forza della backdoor è infatti la sua “invisibilità“. Plague è stato pensato oltre che per lasciare la minima traccia forense, anche per resistere agli aggiornamenti di sistema, agire tramite codice offuscato e utilizzare tecniche anti debug tramite una cifratura simmetrica a XOR.

Una volta in ascolto, Plague può comportarsi seguendo modalità diverse in base all’ambiente e a cosa l’attaccante vuole ottenere. Ad esempio, il programma malevolo può rimanere in silenzio se in presenza della flag bkr=1, che indica che l’ambiente su cui sta eseguendo è un ambiente monitorato, oppure può agire e rubare credenziali, dati, sfruttare vulnerabilità note per ottenere una RCE, e fornire un accesso tramite delle password “hardcoded” che sono state trovate dentro gli artefatti del malware. Una delle password usate dagli attaccanti è ad esempio “changeme“.

Un aspetto interessante è che l’analisi da parte dei ricercatori ha rivelato segni di sviluppo continuativo del malware, compilato con versioni differenti di GCC per varie distribuzioni Linux. Questo può suggerire una superficie di attacco molto vasta e una cerchia di utenti colpiti più grande di quella che possiamo pensare.

Consigliamo quindi a tutti gli amministratori di sistemi Linux di intervenire con urgenza. È essenziale controllare in /etc/pam.d/ e nelle directory dei moduli PAM l’eventuale presenza di file .so sospetti o non documentati. Individuarli e rimuoverli tempestivamente può evitare compromissioni gravi e prevenire che una minaccia così radicata e invisibile continui ad operare inosservata all’interno del sistema e potenzialmente muoversi nella rete e compromettere l’intera infrastruttura. Se si trattasse di una rete informatica di un’impresa questo potrebbe causare non pochi problemi.

L’ultimo aspetto interessante di tutta la questione riguarda la modalità di attacco, infatti il mondo Linux non è nuovo a questo tipo di backdoor che abbiamo visto addirittura in plaintext e su codice open-source nel famoso caso di XZ.

La storia si ripete sempre, l’importante è farne tesoro.