Identificato un nuovo agente patogeno progettato per infettare i sistemi embedded basati su Linux, una minaccia che, diversamente dal solito, si limita a contraffare le interazioni social dell’utente. I router sono sempre più vulnerabili

Roma – Gli analisti di sicurezza di ESET hanno individuato Moose, un worm per Linux che prende principalmente di mira i router con firmware FOSS: nulla di particolarmente originale a parte il payload, pensato per interferire con i profili dei social network associati all’utente infetto.

Una volta infettato un router vulnerabile, dicono i ricercatori di ESET, Moose parte alla caccia di altri dispositivi adatti a diffondere ulteriormente l’infezione; nel mentre, alcuni dei numerosi thread aperti dal malware monitorano il traffico di rete non criptato per “rubare” i cookie HTTP.

Una volta identificati i token di registrazione ai social network più popolari come Facebook, YouTube e Twitter, infine, il worm esegue operazioni fraudolente sui profili dell’utente come la generazione di follower, visite e “mi piace” fasulli. Ulteriore capacità di Moose è la redirezione del traffico DNS, un modo con cui gli autori del malware possono mettere in pratica attacchi “man-in-the-middle” online.
 
L’insolita minaccia di Moose si applica anche ad altri dispositivi embedded basati su Linux oltre ai router di rete, dicono i ricercatori. Per quanto riguarda la rimozione, infine, da ESET suggeriscono di riavviare il dispositivo infetto e di modificare la password quanto prima possibile. Un’infezione permanente del firmware è però sempre in agguato, avvertono i ricercatori.

La minaccia di Moose rappresenta la conferma del rischio crescente posto dai router di rete vulnerabili, e in questo ambito la presenza di un kernel Linux sul sistema è un rischio più che una garanzia di sicurezza. Un nuovo allarme in tal senso arriva dall’hacker white-hat “Kafeine”, a dire del quale una vulnerabilità già nota dall’inizio di marzo è ora attivamente sfruttata per compromettere più di 40 modelli di router diversi.

via http://punto-informatico.it/

Kasperksy ha individuato Turla, un trojan che colpisce i sistemi Linux e che come Regin, Stuxnet e altri ha le caratteristiche di una cyber arma. Vale a dire che si tratta di un software molto sofisticato, quasi impossibile da individuare, difficile da comprendere ed estremamente complesso. In questi casi, di solito, si pensa che solo uno stato abbia le risorse necessarie per fare un lavoro simile.

Turla è stato infatti classificato APT (Advanced Persistent Threat), cioè una “minaccia avanzata persistente”. È in circolazione da almeno quattro anni ed è stata usato per colpire utenti in almeno 45 paesi – tanto in istituzioni pubbliche quanto in società private.

Kurt Baumgartner e Costin Raiu di Kaspersky scrivono che con Turla per Linux emerge “un pezzo sconosciuto di un puzzle più grande” – riferendosi a un’operazione di spionaggio già nota, ma con molti elementi ancora misteriosi.

Turla per Linux è scritto in C/C++, viene definito una “backdoor furtiva” ed è progettato per restare invisibile agli strumenti di analisi più comuni. A un certo punto si attiva, quando riceve un comando specifico tramite il sistema di controllo. A quel punto la minaccia è simile a quelle già viste per Windows per quanto riguarda il possibile furto d’informazioni.

“Usa tecniche che non richiedono permessi di root“, continua il post su SecureList, “il che permette di eseguirlo più liberamente sugli host vittima. Anche se avviato da un utente regolare con privilegi limitati, può continuare a intercettare i pacchetti in entrata ed eseguire comandi”. In gran parte comunque Linux Turla è un mistero, anche perché il codice esaminato sembra vecchio e ormai obsoleto rispetto all’ultima versione individuata.

Gli amministratori di sistemi Linux che volessero controllare la sicurezza possono esaminare il traffico in uscita alla ricerca di connessioni verso news-bbc.podzone.org, oppure 80.248.65.183. Questi, scrive Dan Goodin su Ars Technica, sono gli indirizzi dei server CC integrati in Turla Linux. È tuttavia improbabile che una macchina qualsiasi sia infetta, visto che si tratta di strumenti progettati per colpire bersagli specifici.

I ricercatori Kaspersky, intervistati da Goodin, hanno spiegato che Linux Turla è parte di una campagna di spionaggio molto grande e che questo trojan per Linux potrebbe essere solo la punta dell’iceberg.

http://www.tomshw.it/