La consapevolezza che alcuni enti governativi, di sicurezza e quant’altro sono potenzialmente in grado – e nessuno glielo vieta – di “ritoccare” programmi ed interi apparati hardware con malware in qualche modo autorizzati ai fini di spionaggio sorveglianza ha messo sull’attenti sia tutti i più o meno esperti in materia che intere security firm, intente a rilevare tracce di minacce fino ad oggi lasciate indisturbate.
E’ il caso ad esempio della recente scoperta di Reign, che si è rivelato attivo dal 2008, oppure di un meno “pubblicizzato” Turla “beccato” da Symantec e dalla security firm russa Kaspersky, forse meno conosciuto ma di certo non meno pericoloso: nonostante le dinamiche diverse, ad accomunare entrambi i malware è l’obiettivo di “rubare dati” da grossi server di una certa rilevanza a livello mondiale ad esempio, almeno nel caso di Turla, i computer degli enti governativi o delle case farmaceutiche.
Ma si sa che le brutte notizie arrivano come le ciliege e se è vero – come è vero – che entrambi i trojan hanno agito indisturbati su Windows, il campo d’azione potenziale mira ad espandersi con pochissimi dubbi. Kaspersky – per fortuna o forse no – ha colpito ancora, rilevando in tempi piuttosto recenti una seconda variante di Turla. A caderne vittime questa volta sono i sistemi operativi Linux-based.
Turla, nel dettaglio
Come già detto, Turla è una cosiddetta APT – minaccia avanzata e persistente – scoperta per la prima volta da Symantec e Kaspersky la scorsa estate, balzata immediatamente nei posti più alti della lista delle APT più temibili ed efficaci (così come ci sarebbe finita Regin poco tempo dopo); il malware ha agito indisturbato su Windows per almeno quattro anni, bersagliando server rilevanti – appartenenti ad istituzioni governative, militari, educazionali, di ricerca, case farmaceutiche ed ambasciate – in ben 45 Paesi del mondo.
Turla agiva sfruttando delle vulnerabilità di Windows, almeno due delle quali erano classificate “zero-day” (ovvero di nuova scoperta e senza patch esistente) ai tempi in cui sono state sfruttate; ciò lascia chiaramente intuire che, oltre da metodo d’accesso per i dati in transito sui server vittima, Turla è in grado di eseguire comandi su richiesta – cosa che dalle analisi successive si sarebbe rivelata vera. Il rootkit che Turla ha usato per agire è balzato all’occhio per la sua complessità e per la difficoltà di rilevazione.
[Turla] Agisce in ambienti più ampi di quanto sospettavamo in precedenza. Tutto ciò che avevamo già visto su Turla era basato su Windows. Questo ulteriore pezzo del puzzle ci mostra che [gli aggressori] non si pongono limiti.
Non è molto differente la variante Turla che colpisce i sistemi operativi Linux: anch’essa fa parte del complicato piano ideato da chi ha inventato e diffuso Turla e non è rilevabile dal comando di base che tutti i sysadmin del mondo utilizzano per monitorare il transito di dati da e per il proprio PC: netstat. Molto più complessa – quasi scaltra – l’idea alla base di esso: la backdoor resta inattiva finché i cracker non inviano un particolare pacchetto al server bersaglio contenente una sequenza di “numeri magici” che servono per attivarla; è esattamente così che Turla è rimasto inattivo – ed inosservato – per anni.
Turla è in grado di comunicare con un server di controllo ed eseguire i comandi ricevuti da esso anche senza disporre di privilegi elevati, il che significa che anche un utente con permessi regolari (come ad esempio può essere “apache” o “nobody”) è in grado di lanciarlo, permettendogli di intercettare il traffico di rete ed eseguire codice arbitrario sulle macchine infette.
Nonostante le carte siano state scoperte, alcune informazioni sul malware – scritto combinando C e C++ – restano ignote, principalmente “grazie” alla stretta connessione con librerie scritte in precedenza e l’assenza di informazioni sui simboli usati. Ciò significa che alcune capacità di Turla su Linux potrebbero essere ancora ignote:
Il codice è molto interessante. Non soltanto funziona su Linux, ma non lo si può rilevare con i metodi convenzionali.
Tutti i sistemi operativi Linux-based sono in pericolo?
In una sola parola: NO.
Se quanto abbiamo appreso fino ad ora di Turla su Linux disegna uno scenario a dir poco inquietante, è pur vero che per cadere vittime di una minaccia del genere c’è bisogno di ricoprire una certa “importanza”: Turla non è esattamente il tipo di malware scritto in una settimana da uno o più liceali con skill più o meno avanzate di codewriting e che si contrae eseguendo binari precompilati di dubbia provenienza reperiti in rete; a Turla non interessano le password di Facebook né quelle di Twitter, tantomeno il numero della vostra carta di credito.
Le mani che hanno scritto il malware appartengono con enormi probabilità a piani “molto alti”, in gioco ci sono dati ben più importanti, ed un malware di tale portata sicuramente non viene diffuso in Internet dal piccolo cracker di turno in cerca di un modo per far soldi facili né viene venduto in giro per le darknet. Turla è per pochi eletti, ed è plausibile pensare che sia arrivato – e forse arriverà ancora – sui server delle vittime con mezzi di diffusione ben poco convenzionali. Tra l’altro, al momento Kaspersky è stata in grado di identificare ed isolare la minaccia su un unico server. Questo la dice lunga.
E’ presumibile che tutti coloro che eseguono qualsiasi variante dei sistemi operativi Linux-based sul proprio PC possano stare assolutamente tranquilli, a meno che non si tratti di server particolarmente esposti o contenenti dati estremamente sensibili, di importanza internazionale. In questo caso, per essere sicuri di dormire sonni tranquilli, se siete amministratori di un sistema del genere cercate tra le connessioni in uscita dalla vostra infrastruttura di rete tracce dei due server di controllo noti, che rispondono rispettivamente agli indirizzi
news-bbc.podzone[dot]org
o
80.248.65.183
Un’analisi ulteriore per scoprire se si è stati colpiti o meno dalla minaccia può essere effettuata utilizzando questo tool, in grado di rilevare tracce dei comandi che Turla ed il server di comando si scambiano sui pacchetti in uscita.
La ricerca va avanti. E’ probabile che ad un certo punto ciò condurrà ad un’altra rilevazione a causa del modo in cui è usata la backdoor.
Restiamo in attesa di ulteriori sviluppi.
APPROFONDIMENTO | Differenze tra Virus, Worm, Trojan e Malware: guida pratica
