Linux sotto attacco
HiddenWasp: una suite malevola attacca linux

Si chiama Hidden Wasp, letteralmente La vespa nascosta, ed è la minaccia informatica del momento. Capace di bypassare i migliori antivirus, è salita agli onori della cronaca perché riesce a colpire i sistemi operativi GNU/Linux senza che neppure il più esperto ed oculato amministratore di rete possa rendersene conto. Per questo Hidden Wasp ha generato il panico nella comunità e fatto tremare i polsi di molti.

In realtà hidden wasp non è un semplice virus… ma piuttosto una suite, come è stato definito ad esempio da arstechnica, costituita da kit di distribuzione iniziale, trojan horse e rootkit.

Quando la società di sicurezza Intezer ha riportato la notizia, il portale di Virus Total ha dichiarato che nessuno dei 70 sistemi antivirus a loro disposizione conosceva questa infezione. E infatti, le prime segnalazioni di Hidden Wasp da parte degli utenti sono successive alla notifica di Intezer.

La novità è che questo virus non entra in funzione appena il sistema è infettato ma trascorre un periodo che potremmo chiamare di incubazione per cui è difficile rendersi conto se il proprio sistema è stato infettato. Di certo, quando il virus viene attivato, apre una back door che permetta al pirata che ha infettato il sistema di prenderne il controllo da remoto, con tutte le conseguenze del caso.

La suite di hidden wasp sarebbe svilluppata da un gruppo di hacker cinesi, utilizzando codice per altro già noto: una parte del codice, infatti, apparterrebbe a Mirai (il virus dell’IoT, internet delle cose) rilasciato già nel 2016; un’altra parte assomiglierebbe al codice del rootkit Azazel; una parte proverrebbe infine da una variante, recentemente scoperta, di Winnti, un virus finora noto solo in ambiente Microsoft.

“Si tratta di una scoperta interessante”. A dirlo è Silas Cutler, responsabile della sezione reverse engineering di Alphabet, la società di sicurezza che ha scoperto Winnti, perché utilizzando codici rudimentali e spesso opensource (come per il rootkit), si riesce ad indurre in errore i sistemi di analisi che potrebbero non riconoscere il virus.

Non solo. Secondo Silas Cutler: “se la maggior parte dei virus si concentra sullo sminamento delle criptovalute o sull’uso degli elaboratori per produrre attacchi Dos e DDos, Hidden Wasp sembra ispirata ad una logica completamente diversa perché consente all’attaccante di assumere il controllo del dispositivo da remoto grazie ad un utente e una password di amministratore che sembrano essere già creati.

Ignacio Sanmillan, di Intezer ha dichiarato:

I malware per linux potrebbero introdurre nuove sfide mai viste su altre piattaforme. Il fatto che questo malware riesca a passare inosservato dovrebbe suonare come un campanello d’allarme per le industrie della sicurezza in modo da allocare maggiori sforzi e risorse nel rilevamento di queste minacce

Al momento attuale non sono a conoscenza di antivirus in grado di rilevare o rimuovere HiddenWasp, tuttavia dato che il virus deve caricare in background e installare così anche l’utente fantasma che sarà utilizzato dall’attaccante, sarebbe una buona cosa provare a verificare che nel sistema non compaia il file /etc/ld.so.preload che, come suggerito dal nome, modifica le istanze di ld.so in modo da forzare l’esecuzione delle attività previste dall’aggressore.