Un gruppo di criminali informatici di origine cinese noto come Earth Lusca è stato visto prendere di mira enti governativi utilizzando un nuovo tipo di backdoor Linux mai visto prima chiamato SprySOCKS.
Non è la prima volta che si scopre una backdoor su Linux o altri tipi di vulnerabilità, ma esiste (purtroppo) la convinzione radicata che questa classe di sistemi operativi sia “invincibile”.
Earth Lusca, da dove salta fuori questo gruppo hacker
Earth Lusca è stato documentato per la prima volta da Trend Micro nel gennaio 2022, descrivendo gli attacchi dell’avversario contro entità del settore pubblico e privato in Asia, Australia, Europa e Nord America.
Attivo dal 2021, il gruppo ha fatto affidamento su attacchi di spear-phishing e watering hole per portare a termine i suoi piani di spionaggio informatico. Alcune attività del gruppo si sovrappongono con un altro cluster di minacce monitorato da Recorded Future con il nome RedHotel.
Le ultime scoperte della società di sicurezza informatica mostrano che Earth Lusca continua ad essere un gruppo attivo, espandendo addirittura le sue operazioni per prendere di mira organizzazioni in tutto il mondo nella prima metà del 2023.
Obbiettivi e danni di Earth Lusca
I principali obiettivi includono i dipartimenti governativi coinvolti in affari esteri, tecnologia e telecomunicazioni. Gli attacchi sono concentrati nel Sud-Est asiatico, nell’Asia centrale e nei Balcani.
Le sequenze di infezione iniziano con lo sfruttamento di falle di sicurezza note nei server Fortinet (CVE-2022-39952 e CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) e Zimbra (CVE-2019-9621 e CVE-2019-9670) per rilasciare web shell e distribuire Cobalt Strike per il movimento laterale.
“Il gruppo intende sottrarre documenti e credenziali di account email, oltre a distribuire ulteriori backdoor avanzati come ShadowPad e la versione Linux di Winnti per condurre attività di spionaggio a lungo termine contro i loro obiettivi,” hanno dichiarato i ricercatori di sicurezza Joseph C. Chen e Jaromir Horejsi.
Il server utilizzato per distribuire Cobalt Strike e Winnti è stato anche osservato ospitare SprySOCKS, che ha le sue radici nel backdoor Trochilus open-source per Windows; è importante notare che l’uso di Trochilus è stato collegato in passato a un gruppo di hacker cinese chiamato Webworm.
Caricato tramite una variante di un componente di iniezione ELF noto come mandibule, SprySOCKS è in grado di raccogliere informazioni di sistema, avviare una shell interattiva, creare e terminare un proxy SOCKS e eseguire varie operazioni su file e directory.
La comunicazione del comando e del controllo (C2) consiste in pacchetti inviati tramite il protocollo di controllo della trasmissione (TCP), riproducendo una struttura utilizzata da un trojan basato su Windows chiamato RedLeaves e che a sua volta sembrerebbe essere basato su Trochilus.
Sono state identificate almeno due diverse versioni di SprySOCKS (versioni 1.1 e 1.3.6) fino ad oggi, suggerendo che il malware venga continuamente modificato dagli aggressori per aggiungere nuove funzionalità.
“È importante che le organizzazioni gestiscano proattivamente la loro superficie di attacco, riducendo al minimo i punti di ingresso potenziali nel loro sistema e riducendo la probabilità di una violazione di successo,” hanno affermato i ricercatori, aggiungendo, “Le aziende dovrebbero applicare regolarmente patch e aggiornare i loro strumenti, software e sistemi per garantire la loro sicurezza, funzionalità e prestazioni complessive.”
Di quanti malware esistono su Linux non ci è dato saperlo
La crescente presenza di minacce su Linux, come quella di Earth Lusca, mette in allarme chi ha iniziato ad utilizzare una sua distribuzione per rimanere “immuen da virus” o “immune da attacchi informatici”, peccato che la realtà è più complessa.
La questione meriterebbe di essere approfondita, ma mentre Android e Windows, ad esempio, hanno dei sistemi di controllo (anche se “blandi”) per poter rilevare delle minacce, le distro Linux di solito non hanno nulla.
Sebbene sia possibile installare ClamAV un antivirus Linux che funziona tramite terminale, anch’esso tempo fa ha avuto qualche problema; sintetizzando, sebbene gran parte dei problemi siano responsabilità dell’utenza, non vuol dire che come credono molti “installo Linux e sono immune da tutto”, semplicemente non è così, come dimostra il caso Eearth Lusca, ma la cosa andrebbe trattata in altra sede.
