La prima domanda che ti viene in mente è: ma com’è possibile che esperti di cybersecurity utilizzatori di Linux non riescano a beccare un malware?
Per rispondere a questa domanda bisogna dimenticare quello che conosci dell’informatica “canonica” (sistemi Windows, prevalentemente, ma anche Apple e Android in linea di massima) e capire alcune cose dei sistemi Linux.
In generale chi installa Ubuntu, LinuxMint, Lubuntu, ZorinOS oppure Linux Lite (e potrei andare avanti all’infinito: le distribuzioni sono un’infinità) pensa: “beh, tanto è rarissimo se non impossibile che un virus o un malware per Linux colpisca proprio me”, perché di fatto Windows è molto più colpito da attacchi rispetto a MacOS o a sistemi Linux.
Questo vuol dire forse che Windows è più vulnerabile? No. È una questione puramente statistica! La stragrande maggioranza di sistemi al mondo usa Windows, di conseguenza è più soggetto ad attacchi per via della legge dei grandi numeri; se a questo ci aggiungiamo che l’utente medio Windows non è certamente una volpe a livello informatico e spesso clicca sui posti sbagliati, non fa aggiornamenti, fa installare dal “cuggino” Windows crackato col KMS, è facile capire che molti dei problemi di Windows dipendano più dall’utenza in sé, che non da disfunzioni (o presunte tali) del sistema operativo Microsoft, che è un sistema che andrebbe compreso, prima di tutto.
I sistemi MacOS, avendo un bacino di utenza molto inferiore a Windows, hanno di conseguenza meno probabilità di essere colpiti da malware: tutto qui! Questo però non vuol dire che non esistano virus o malware per Mac, anzi!
Sul mondo Linux esiste tuttavia un enorme problema per poter identificare statisticamente tali problematice.
Il primo sono le distribuzioni: sono davvero tante, come elencato poco fa.
Secondo problema: quasi nessuno fa partire mai un antivirus su Linux, questo nonostante ce ne siano alcuni di fatto. Uno dei più popolari è ClamAV che funziona tramite interfaccia testuale.
Questo cosa vuol dire: vuol dire che non essendoci dati certi sulle scansioni, non possiamo essere certi al 100% sulla veridicità delle affermazioni dei “malware su Linux”! Ciò dovrebbe essere un ragionamento così logico e banale, che non dovrei nemmeno scriverlo; serve tuttavia per capire un po’ la dinamica di questo Symbiote.
Ma questo malware Symbiote per Linux da dove è saltato fuori?
Esperti di sicurezza informatica ritengono che questo malware abbia iniziato lo sviluppo all’incirca a Novembre del 2021, con l’intenzione di attaccare i mercati finanziari dell’America Latina, compresa la Banca del Brasile (Banco do Brasil) e la Caixa (Venezuela), basato sui report di Intezer e BlackBerry.
I ricercatori Joakim Kennedy e Ismael Valenzuela in un report di BlackBerry hanno infatti messo in luce che Symbiote (che si chiama così proprio perché si comporta come i simbionti, un parassita, per capirci) è un malware molto più subdolo rispetto a quelli conosciuti, proprio per la sua capacità parassitica di camuffarsi. “Il principale obiettivo di Symbiote è quello di catturare le credenziali e facilitare l’accesso alla backdoor della macchina della vittima” – spiegano i due esperti – “Quello che rende Symbiote diverso dagli altri malware su Linux è la sua capacità di infettare i processi già in corso invece di far partire un file eseguibile per infliggere danni“.
Qui va però spiegato che, contrariamente a quanto accade su Windows, su Linux non esiste una vera e propria forma di file eseguibile (per capirci i file .exe, .com e a volte i .msi), quindi gli sviluppatori del malware hanno dovuto ingegnarsi per farlo funzionare. In effetti funziona esattamente come un simbionte parassita: si “attacca” ai processi già in corso in modo che venga rilevato come uno di loro.
Senza fare tanti giri di parole, perché sono concetti estremamente difficili e non alla portata di tutti, cercherò di spiegare in termini molto semplici per i neofiti per farti capire cosa combina Symbiote. Sei mai andato a spulciare i file di Windows? Hai presente che ce ne sono tanti con estensioni strane tipo DLL, CAB e via discorrendo? Analogamente su Linux esistono file simili (ma con estensioni diverse), e questo parassita si “attacca” ad uno di questi file mimetizzandosi, da qui il nome “Symbiote”.
I malware per Linux, tuttavia, non sono una cosa così recente e “nuova”: già nel 2014 gli esperti di ESET avevano avvertito di un malware chiamato Ebury che colpì addirittura il CERN di Ginevra nel 2019.
I due ricercatori hanno concluso (come avevo accennato poco fa, al discorso della difficile identificazione dei malware su Linux) con queste parole: “Dato che il malware lavora a rootkit livello utente, identificare questa infezione può essere molto difficile, la telemetria di rete può essere usata per identificare richieste di DNS anomale e strumenti di sicurezza come AVs ed EDRs dovrebbero essere statisticamente connessi per assicurarsi non ci siano rootkit a livello utente ‘infetti’ “.
Ma scusa, io uso Linux, c’è pericolo che il malware per Linux Symbiote infetti il mio computer?
La risposta è, per tua fortuna: NO!
Questo tipo di malware solitamente non è dedicato assolutamente all’utente comune, bensì va a colpire istituzioni come governi, banche, etc.
Non è assolutamente una tipologia di Malware da temere. Va però detto che con QUALUNQUE sistema operativo possono esserci dei problemi (problemi di privacy, phishing, cliccare sul link sbagliato, etc.).
Non è tuttavia da escludere che se un domani per assurdo i sistemi Linux dovessero surclassare Windows, potrebbero divenire molto più attaccati rispetto a quest’ultimo.
Sta a te utente prendere precauzioni a riguardo e imparare a tutelarti nella giungla di internet.
