24 agosto 2017

Oggi esiste un'ampia gamma di programmi malevoli capaci di compromettere dispositivi basati su Linux. Uno dei più diffusi trojan per questo SO si chiama Linux.Hajime, e alcuni programmi di scaricamento di questo malware vengono rilevati soltanto dall'Antivirus Dr.Web.

I trojan della famiglia Linux.Hajime sono conosciuti dagli analisti dei virus dalla fine del 2016. Sono worm di rete per Linux che si diffondono utilizzando il protocollo Telnet. Dopo aver accesso a un dispositivo tramite il metodo a dizionario, un plugin infettante ci salva un downloader in esso memorizzato scritto in assembly. Il downloader scarica il modulo principale del trojan dal computer da cui proviene l'attacco. A sua volta il programma malevolo include il dispositivo infettato in una botnet decentralizzata P2P. Linux.Hajime è capace di infettare gli oggetti con l'architettura hardware ARM, MIPS e MIPSEL.

Oltre al downloader malevolo per i dispositivi ARM, nella "natura selvaggia" si diffondono già da mezz'anno i moduli con funzionalità simili che sono progettati per i dispositivi con l'architettura MIPS e MIPSEL. Il primo di essi è stato denominato Linux.DownLoader.506, il secondo Linux.DownLoader.356. Al momento della scrittura di questo articolo entrami venivano rilevati soltanto dai prodotti Dr.Web. Inoltre, gli analisti dei virus Doctor Web hanno scoperto che oltre all'utilizzo dei trojan di scaricamento i malintenzionati effettuano l'infezione anche tramite le utility standard, per esempio, scaricano Linux.Hajime attraverso wget. A partire dall'11 luglio 2017 i criminali informatici hanno iniziato a scaricare il trojan su un dispositivo sotto attacco tramite l'utility tftp.

Le statistiche raccolte dagli specialisti Doctor Web mostrano che il primo posto tra i paesi cui appartengono gli indirizzi IP dei dispositivi infettati da Linux.Hajime è occupato dal Messico. Nei top tre rientrano anche la Turchia e il Brasile. La distribuzione geografica degli indirizzi IP sugli oggetti infetti è mostrata nel seguente diagramma:

Nel diagramma successivo è mostrato il numero di attacchi per lo scopo di propagare Linux.Hajime ad agosto 2017, registrati dall'azienda Doctor Web.

L'azienda Doctor Web ricorda: uno dei modi più affidabili per prevenire gli attacchi a dispositivi Linux è quello di modificare tempestivamente il login e la password impostati di default. Inoltre, è consigliato limitare la possibilità di connessione al dispositivo dall'esterno attraverso i protocolli Telnet e SSH e aggiornare tempestivamente il firmware. L'Antivirus Dr.Web per Linux rileva e rimuove tutte le versioni menzionate dei downloader di Linux.Hajime e inoltre consente di eseguire una scansione dei dispositivi in remoto.

Informazioni sul trojan