Un potenziale attacco informatico programmato meticolosamente, usando l’ingegneria sociale per diffondere una backdoor che avrebbe messo a rischio milioni di utenti in tutto il mondo: uno dei più ambiziosi piani hacker di sempre. Ma i cybercriminali (o forse le spie) non hanno fatto i conti con un ricercatore informatico che, da solo, ha saputo risolvere il possibile problema. Andres Freund, dipendente Microsoft, ha sventato nel suo tempo libero il mastodontico piano per diffondere un malware devastante nelle distribuzioni Linux, attraverso una backdoor aperta con pazienza certosina dagli hacker.
Malware Linux, la devastante backdoor scoperta da un (solo) ricercatore
Da quando Linus Torvalds creò il primo kernel del sistema operativo, Linux è la scelta di chi apprezza il “software libero“. Una percentuale in crescita quest’anno, arrivando a circa il 4% del mercato desktop. Ma per capire l’enormità dell’attacco tentato da hacker non ancora identificati, non basta pensare ai PC. Oltre il 90% dei server in tutto il mondo si basa su questa tecnologia, così come tutti gli smartphone Android e la quasi totalità dei prodotti della smart home.
Non tutti questi sistemi, tuttavia, hanno davvero corso un rischio. Ma come ricorda PandaSecurity, questo attacco ha ricevuto il punteggio di minaccia più alto possibile, dieci su dieci: dopo il campanello di allarme di Andres Freund, hanno dovuto verificare la sicurezza delle librerie tantissime distribuzioni Linux (le varie “varianti” del sistema operativo) e persino macOS, che utilizza per alcune funzionalità la libreria compromessa, XZ Utils. Una utility opensource creata dallo sviluppatore Lasse Collin e integrata in gran parte delle distribuzioni Linux — e non solo.
Ingegneria sociale: gli hacker attaccano uno sviluppatore oberato di lavoro
XZ Utils da anni viene usata senza problemi per la compressione dei dati sui computer e sui server. Ripetiamo: da tantissime macchine in tutto il mondo. Ma come spesso accade per una libreria opensource, la sua evoluzione e la chiusura di eventuali bug è in mano ad una persona. Inoltre, non facendo pagare il proprio contributo, capita spesso che la persona che segue questi software lo faccia nel proprio tempo libero, quando ha finito di programmare per lavoro e può farlo solo per il piacere di contribuire allo sviluppo software di altri utenti.
Quindi, capita che chi ha creato queste libreria debba farsi aiutare da qualcuno. Come spiega bene DDay, nel 2020, tra gli utenti che collaboravano al progetto come contributor si è fatto notare un certo Jia Tan, nome utente su GitHub JiaT75. Lasse Collin, lo sviluppatore che aveva creato XZ Utils, non sembrava avere più tanto tempo per occuparsene: l’intervento di Jia Tan è stato essenziale per apportare tutte le migliorie alla libreria, correggere i bug e rispondere agli utenti che chiedevano queste correzioni.
La vera faccia del collaboratore
Richieste che continuavano a crescere, mentre il tempo a disposizione di Collin no. Quindi, ha deciso di rendere Jia Tan un “co-mantainer”. Una volta ottenuto questo ruolo, Jia Tan ha mostrato le sue vere intenzioni. Ha, infatti, nascosto del malware dentro XZ Utils, non nel codice pubblicato su Github liberamente accessibile, ma esclusivamente dentro le “tarball“, ovvero il file già archiviato della libreria. Dove gli altri utenti volontari non potevano valutarne la pericolosità.
Ma la pazienza di Jia Tan non è il solo elemento di ingegneria sociale che ha ingannato Collin e tutti quelli che usavano questa libreria. Quasi tutti gli utenti che chiedevano migliorie a XZ Utils non esistevano, erano tutti utenti creati in tempi diversi usando account anonimi. E che avevano a loro volta contribuito, in maniera apparentemente onesta, ad altri codici su Github, per risultare credibili.
Nei mesi successivi all’inserimento della backdoor dentro XZ Utils, altri utenti finti hanno iniziato a spingere i gestori delle varie distribuzioni di Linux perché inserissero nella loro distro la versione più aggiornata di XZ Utils, quella con il malware. In questo modo, hanno spinto per distribuire e diffondere la backdoor.
Malware Linux: un possibile attacco coordinato, sventato da un solo ricercatore
Jia Tan ha iniziato a contribuire a XZ Utils nel 2020, ma forse il piano ha avuto inizia ancora prima. Questo significa che chiunque sia dietro questo attacco, che siano cybercriminali o un ente governativo, ha lavorato per anni in un attacco coordinato di grande proporzioni. Il tutto, attaccando un programmatore in difficoltà perché solo. Ma un altro ricercatore, solo, ha impedito che questo attacco avesse effetto.
Andres Freund aveva finito il proprio lavoro giornaliero come ricercatore Microsoft, e stava trafficando sul proprio PC. Voleva ridurre la velocità delle ventole, per renderlo più silenzioso. Ma si è accorto che qualcosa non andava quando, analizzando le prestazioni del proprio computer, ha notato che dei processi SSHD stavano utilizzando una quantità sorprendente di CPU (il processore). Tuttavia, continuavano a fallire a causa di nomi utente errati.
I processi SSHD permettono di eseguire l’accesso a un computer remoto: se un hacker riesce a comprometterli, ha aperto la “porta virtuale” verso il vostro PC o server. Freund, quindi, si è insospettito e ha analizzato la situazione. L’analisi tecnica è piuttosto complicata da seguire (qui trovate il post di Freund se volete approfondire), ma quello che il ricercatore ha scoperto è una backdoor che avrebbe potuto permettere a un hacker di accedere al vostro PC o server.
Pericolo sventato, ma serve attenzione
La scoperta di Andres Freund ha sventato un piano di diffusione di un malware devastante nelle distribuzioni Linux. La larga diffusione di questa libreria, avrebbe permesso a chiunque sta dietro quest’attacco di avere accesso a un numero enorme di server e computer Linux. E online il consenso degli esperti di sicurezza sembra unanime: siamo stati fortunati.
Se non Freund non avesse notato in tempo questa backdoor, i danni sarebbero potuti diventare incalcolabili. Un ricercatore, solo, ha saputo rimediare a un enorme attacco coordinato che ha preso di mira un programmatore, che ha dovuto abbassare la guardia perché bersaglio di un attacco di ingegneria sociale. E che forse, non avrebbe dovuto restare da solo a gestire una libreria tanto importante.
- Cervelli, Riccardo (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🌍 Giornata della Terra: ciascuno può dare il suo piccolo contributo per salvaguardarla
🍿Fallout: tutte le domande irrisolte alle quali la Stagione 2 dovrà rispondere
🛞Come scegliere gli pneumatici estivi per l’estate? I fattori da considerare
🤯Google licenzia 28 dipendenti per proteste contro il progetto Nimbus in Israele
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
