Nel mare di codice malevolo presente in rete e nei nostri dispositivi, sembra che vi sia un’eccezione: Linux.Wifatch sembra in grado di proteggere in qualche modo alcuni router in cui è stato scovato, come se fosse un guardiano.
Chi vigila sulle vulnerabilità informatiche – sono davvero in molti e distribuiti in diverse aziende specializzate – è abituato ormai a tutto. Giornalmente sono migliaia le varianti di malware individuate in una sconfinata tipologia di dispositivi, con team dedicati a porre l’attenzione su questo o quel pericolo per lo specifico dispositivo. Abituati a tutto, dicevamo, o quasi.
Perplessità, stupore e un po’ di diffidenza. Questo devono aver provato alcuni specialisti in sicurezza di Symantec alla fine del 2014, quando si sono trovati di fronte un malware davvero particolare.Linux.Wifatch, questo il nome dato al presunto codice malevolo, è stato trovato proprio nel router
di un ricercatore, stupito dal fatto che quello che doveva essere un pericolo in realtà suggeriva all’utente di cambiare password, aggiornare il firmware e, come se non bastasse, riparava anche alcune vulnerabilità note.
Detto in altre parole: un “virus” che chiude da solo Telnet sul router per evitare infezioni e ci fa la paternale su password e aggiornamenti. Sulle prime sembra una barzelletta o un pesce d’aprile, ma è tutto vero. Nel mare di malware (e anche Linux.Wifatch tecnicamente lo è, essendosi di fatto installato illecitamente in diversi router domestici), pare che qualcuno abbia pensato a questo mezzo per alzare le difese contro malintenzionati e codici ben più malevoli.
Da allora Symantec (un report qui) ha studiato il codice e ad oggi non è stato registrato alcun comportamento sospetto se non quello emerso sulle prime, ovvero un atteggiamento da “guardiano”. Linux.Wifatch si connette ad una rete P2P per aggiornare la lista delle minacce più note e dialoga con altre copie presenti su altri router e apparecchi IoT, mentre nel codice è stata trovata una sorta di firma che fa pensare a qualcuno del GNU Project, poiché viene ripresa la firma in mail che Stallman utilizza da un po’ di tempo: “To any NSA and FBI agents reading this: please consider whether defending the U.S. Constitution against all enemies, foreign or domestic, requires you to follow Snowden’s example.”
Mancano per ora ulteriori dettagli, ma sembra ormai certo che dopo mesi di osservazione il comportamento di Linux.Wifatch sia esclusivamente benevolo. Certo, vi sono comunque specialisti in cui spicca la diffidenza, in quanto un comportamento di questo tipo potrebbe virare su qualcosa di ben più pericoloso in un futuro. Sono state infatti trovate alcune backdoor che lo sviluppatore o il team di sviluppatori potrebbero sfruttare per qualsiasi cosa, motivo per cui la guardia resta alta.
In queste immagini sono riassunti alcuni dati di diffusione del malware, anche se viene per ora difficile chiamarlo così nonostante la definizione tecnica. La maggiore diffusione è rilevata in Cina(32%), cui segue il Brasile (16%), Messico e India (9%), Vietnam, Italia e Turchia (7%), seguiti daKorea, USA (5%) e Polonia (3%). Attenzione a queste percentuali, poiché si riferiscono ai casi conclamati e alla loro diffusione, non che in Italia il 7% dei router è soggetto al “problema”. Fra le non meglio precisate decine di migliaia di router in cui è stato trovato Linux.Wifatch, insomma, il 7% si trovano in Italia.
Passando alla diffusione per piattaforma architetturale, la parte più grossa (83%) spetta ad ARM, che troviamo sulla quasi totalità dei router consumer. Seguono molto distanti le architetture MIPS (10%) e SH4 (7%), ma è lecito attendersi aggiornamenti man mano che procede il processo di monitoraggio.
Altra anomalia di Linux.Wifatch è che il codice non è oscurato, ma semplicemente compresso. L’autore avrebbe potuto scegliere di celare il codice in maniera molto più solida, scegliendo diversi modi per nascondere il codice Perl con cui è scritto. Insomma, non c’era l’interesse a nascondersi più di tanto, fatto che ha ulteriormente incuriosito i perplessi ingegneri Symantec.
Fra le ipotesi dei ricercatori Symantec vi è quella che qualcuno abbia pensato ad una sorta di vigilante, alla vigilia della rivoluzione Internet Of Things in cui il router giocherà un ruolo chiave nelle nostre abitazioni. Il reset del router comporta la cancellazione di Linux.Wifatch, sebbene non è escluso che possa rientrare dalla finestra dopo non molto. Symantec consiglia di cambiare password e aggiornare il firmware per aumentare la sicurezza del proprio dispositivo, ovvero esattamente quello che consiglia lo stesso malware.
FONTE: LEGGI ARTICOLO ORIGINALE