Era attivo dal 2022 un malware Linux con spiccate doti di persistenza. La scoperta è di Aon, di recente titolare di un’alleanza strategica con SentinelOne.
È stato soprannominato sedexp il malware che prende di mira i sistemi operativi basati su Linux e che è attivo dal 2022, anche se è stato scoperto solo ora dagli esperti di cybersecurity di Aon. Il suo segreto è una tecnica di persistenza rara e finora non documentata, che gli permette di non essere rilevato dai principali antivirus. Sedexp consente agli attaccanti di prendere il controllo del sistema infetto tramite una shell inversa e viene per lo più impiegato per il furto di dati sensibili, come i numeri delle carte di credito, o per attacchi mirati contro infrastrutture critiche.
Sedexp ha agito indisturbato per circa due anni grazie alla sua innovativa strategia di persistenza. Per comprendere come funziona è necessario ricapitolare in sintesi che cosa sono e come funzionano le regole udev di Linux, il cui sfruttamento è stato cruciale. Nel report pubblico, i ricercatori spiegano che udev è un sistema di gestione dei dispositivi per il kernel di Linux. Ogni volta che un dispositivo hardware viene collegato al sistema, come un'unità USB o una scheda di rete, udev rileva l'evento e applica le regole che servono per configurare correttamente il dispositivo. Sono proprio queste regole ad essere sfruttate dagli attaccanti.
Uno degli aspetti più potenti delle regole udev è infatti che permettono di automatizzare azioni specifiche in risposta a eventi hardware. Gli attaccanti hanno impostato regole udev per eseguire automaticamente il malware ogni volta che si verifica un determinato evento hardware, come l'avvio di un dispositivo o il caricamento di un particolare file. Si tratta dell’ennesimo esempio di una tecnica di attacco che sfrutta funzionalità legittime del sistema operativo per bypassare i sistemi di sicurezza.
Per comprendere l’applicazione di queste regole basta un esempio: in uno dei casi studiati, il malware aveva creato una regola udev che eseguiva automaticamente un payload malevolo ogni volta che veniva caricato il file /dev/random. Quest’ultimo è un file utilizzato dal sistema operativo per fornire numeri casuali impiegati in vari processi di sistema, tra cui operazioni crittografiche, comunicazioni sicure e altre funzioni che richiedono casualità. Dato che /dev/random viene caricato automaticamente dal sistema operativo a ogni riavvio, la regola udev assicurava che sedexp venisse eseguito ad ogni accensione o riavvio del sistema, garantendone la persistenza.
Restando nell’ambito della persistenza, il malware sedexp ha anche la capacità di nascondere qualsiasi file contenente la stringa "sedexp" di modo che non appaia in risposta ai comandi di sistema come “find”. Così facendo nasconde webshell, file di configurazione Apache modificati, le stesse regole udev di cui abbiamo parlato sopra. Inutile sottolineare che un'analisi superficiale del sistema infetto non rileverebbe la presenza del malware.
L'analisi del codice del malware ha rivelato poi altri dettagli interessanti sul funzionamento di sedexp. Uno su tutti, il fatto che una volta eseguito, il malware modifica il proprio nome di processo per somigliare a un processo di sistema legittimo, "kdevtmpfs", aumentando ulteriormente le chance di passare inosservato agli strumenti di monitoraggio dei processi.
Passando all’aspetto offensivo, fra le caratteristiche di sedexp c’è la capacità di stabilire una shell inversa, che consente agli attaccanti di ottenere l'accesso remoto al sistema infetto e di eseguire comandi come se fossero fisicamente presenti sulla macchina. Questi passaggi permettono di esfiltrare dati, modificare configurazioni di sistema, installare ulteriori componenti maligne, il tutto senza che la vittima se ne renda conto.
Quanto rilevato da Aon rimarca il fatto che i threat actor stanno evolvendo le proprie tecniche per sfruttare funzionalità di sistema poco conosciute e raramente monitorate, con l’obiettivo di aggirare le difese. Per vanificare tentativi come questo occorrono strumenti avanzati e un monitoraggio continuo delle infrastrutture da parte di personale esperto. È in quest’ottica che si è mossa Aon annunciando una collaborazione con SentinelOne grazie alla quale Aon sfrutterà la piattaforma Singularity di SentinelOne e contribuirà alla raccolta di dati sulla sicurezza aziendale dei clienti di SentinelOne, al fine di profilare e ridurre in modo efficace il rischio informatico.
SentinelOne collaborerà con Aon sia nel processo di brokeraggio informatico, sia attraverso il servizio globale di Incident Response di Aon. La soluzione congiunta ha l’obiettivo di migliorare il processo di valutazione del rischio e aiutare nella prioritizzazione delle attività di remediation e nel miglioramento della postura di sicurezza delle aziende.