Alfonso Maruccia

In Corea del Sud attaccato anche Linux

Emergono i dettagli della cyber-offensiva sperimentata dai sistemi sudcoreani. Il piano era congegnato per colpire anche le installazioni Linux. E l'origine potrebbe non essere nordcoreana

Roma - Il cyber-attacco distruttivo che ha buttato giù i server di banche e televisione sudcoreane in questi giorni sarebbe un'operazione dall'origine incerta ma di matrice probabilmente cinese, capace di prendere di mira sia i sistemi Windows che quelli con installato Linux.

Le società di sicurezza stanno analizzando il codice impiegato nell'operazione, e dai primi dettagli emergono le caratteristiche di un malware progettato per "spegnere" i software antivirus popolari in Corea del Sud, sovrascrivere il Master Boot Record del disco fisso e anche "svuotare" una installazione Linux rendendo il sistema altrettanto incapacitato a svolgere il suo lavoro.

Jokra - il nome scelto da Symantec per classificare la nuova minaccia - è riuscito a penetrare sui PC sudcoreani a partire da un sito web locale infetto ("Korean Software Property Right Council") sfruttando una vulnerabilità di Internet Explorer già nota e corretta mesi addietro.
I primi rapporti sull'esistenza del malware erano stati accompagnati dall'accusa di coinvolgimento diretto rivolta alle autorità della Corea del Nord, ma l'attacco risulterebbe ora essere partito da un indirizzo IP cinese. Non si tratta certo di una dimostrazione conclusiva delle reali responsabilità nell'accaduto, dicono i sudcoreani, ma almeno ora la Corea del Nord è solo uno dei possibili sospettati.

Che l'attacco sia in qualche modo connesso alla riottosa e problematica nazione isolazionista sopra il 38esimo parallelo sarebbe in ogni modo confermato da una successiva intrusione ai danni del Committee for Human Rights in North Korea, organizzazione con base a Washington che si occupa appunto dei diritti umani in Corea del Nord: i server del gruppo sono stati attaccati, i dati cancellati e poi ripristinati - con l'aiuto della società di hosting - a breve distanza dal cyber-attacco ai danni della Corea del Sud.

Alfonso Maruccia
Notizie collegate
  • SicurezzaCorea del Sud, il caos dopo il cyberattaccoUn virus ha messo fuori uso i sistemi informatici di due istituti bancari e tre broadcaster in terra asiatica. Sospetti verso la vicina Corea del Nord. I tecnici delle televisioni locali non riescono a riavviare le macchine
86 Commenti alla Notizia In Corea del Sud attaccato anche Linux
Ordina
  • che 1) non adottano le tipiche, "paranoiche"Sorride misure di sicurezza dei normali(?) sistemisti Linux che fanno 37 tipi di hardening, usano AIDE, ambienti chrooted, file system COW con sistema di base "read-only" (che resistono ad attacchi del genere), ecc.;
    2) accedono via ssh direttamente a root anzichè ad account non privilegiati, contravvenendo alle linee guida che ti insegnano all'asilo; e
    3) non contenti, memorizzano la password di root (anzichè digitarla ogni volta) nel "portafogli" dell'emulatore di terminale di windows...

    ovvio che questi non sono esattamente sistemisti professionisti. Se poi in Korea a questi gitanti domenicali gli fanno amministrare i server delle banche!!?... E poi ci lamentiamo di certi colleghi nostraniSorride

    P.S. meno male che questi comunisti non conoscono "le gioie" del capitalismo altrimenti questi hacker avrebbero capito che quei codici di 16 cifre ricorrenti che cancellavano continuamente (tanto a che servono?) erano numeri di carte di creditoSorride
    non+autenticato
  • Dai scendiamo in terra. Ovvio che un governo riesce a bucare qualsiasi sistema. Da li a mettere linux sullo stesso piano di win... be si vi fa contenti comunque...
    non+autenticato
  • In che modo è stato attaccato Linux? Partiamo dal presupposto che non esiste il sistema operativo sicuro, però Linux non è nemmeno nella lista dei sistemi facili da abbattere.

    Svuotare una installazione cosa significa? Hanno scalato i privilegi del root e poi hanno formattato i file system?
  • - Scritto da: Zukkino
    > In che modo è stato attaccato Linux? Partiamo dal
    > presupposto che non esiste il sistema operativo
    > sicuro, però Linux non è nemmeno nella lista dei
    > sistemi facili da
    > abbattere.
    >
    > Svuotare una installazione cosa significa? Hanno
    > scalato i privilegi del root e poi hanno
    > formattato i file
    > system?

    hanno bucato macchine windows e usato delle credenziali legittime, trovate sui sistemi bucati (nel software mRemote), per fare ssh come root sulle macchine linux, da li in po, avendo root, è normale che si possa scrivere l'mbr o cancellare quel che si vuole (a meno di sistemi MAC come selinux)
    non+autenticato
  • Quindi non hanno attaccato Linux in quanto tale, ma hanno usato debolezze altrui.
  • SI. Ed ancora non basta a far decidere di vietare Windows in certi ambiti...
    iRoby
    6897
  • Ti faccio un esempio banale. Non prenderla come un'offesa, ma solo per far capire quanto quest'articolo sia farlocco.


    Hai parcheggiato la macchina ( Windows ) e non hai messo l'antifurto (patch di sicurezza).
    Io sfrutto questa vulnerabilità e la rubo.
    Dentro la macchina trovo le chiavi di casa con l'indirizzo (credenziali SSH).
    Vado e ti svaligio la casa ( Linux ).


    Ora, cosa c'entra la casa? C'è stata una vulnerabilità che ha permesso al ladro di entrare? No.
    Il ladro aveva le chiavi.

    Non c'è porta che sia resistente alle sue stesse chiavi.
    -----------------------------------------------------------
    Modificato dall' autore il 22 marzo 2013 16.06
    -----------------------------------------------------------
    Darwin
    5126
  • Piallano l'MBR degli scatolotti linux con un stupidissimo malware e il mondo cantinaro ti da dal pallonaro.

    Hai la mia solidarietà.
    maxsix
    8956
  • - Scritto da: maxsix
    > Piallano l'MBR degli scatolotti linux con un
    > stupidissimo malware e il mondo cantinaro ti da
    > dal
    > pallonaro.
    >
    > Hai la mia solidarietà.

    ancora? guarda che non viene bucato linux, vengono usate credenziali leggittime, trovate su macchine windows bucate, per fare ssh come root sulle macchine linux e cancellare mbr e/o directory di sistema:

    http://thehackernews.com/2013/03/south-korea-cyber...
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: maxsix
    > > Piallano l'MBR degli scatolotti linux con un
    > > stupidissimo malware e il mondo cantinaro ti
    > da
    > > dal
    > > pallonaro.
    > >
    > > Hai la mia solidarietà.
    >
    > ancora? guarda che non viene bucato linux,
    > vengono usate credenziali leggittime, trovate su
    > macchine windows bucate, per fare ssh come root
    > sulle macchine linux e cancellare mbr e/o
    > directory di
    > sistema:
    >
    > http://thehackernews.com/2013/03/south-korea-cyber

    Perdi tempo, il patetico trollone risente ancora del calcio in culo che si e' preso da Torvalds ai tempi che furono....
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: Leguleio
    > > - Scritto da: maxsix
    > > > Piallano l'MBR degli scatolotti linux
    > con
    > un
    > > > stupidissimo malware e il mondo
    > cantinaro
    > ti
    > > da
    > > > dal
    > > > pallonaro.
    > > >
    > > > Hai la mia solidarietà.
    > >
    > > ancora? guarda che non viene bucato linux,
    > > vengono usate credenziali leggittime,
    > trovate
    > su
    > > macchine windows bucate, per fare ssh come
    > root
    > > sulle macchine linux e cancellare mbr e/o
    > > directory di
    > > sistema:
    > >
    > >
    > http://thehackernews.com/2013/03/south-korea-cyber
    >
    > Perdi tempo, il patetico trollone risente ancora
    > del calcio in culo che si e' preso da Torvalds ai
    > tempi che
    > furono....

    cioè? maxsix ha litigato con Torvalds (non che sia impossibile visto il numero di persone con cui Torvalds riesce a litigare)?
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: Trollollero
    > > - Scritto da: Leguleio
    > > > - Scritto da: maxsix
    > > > > Piallano l'MBR degli scatolotti
    > linux
    > > con
    > > un
    > > > > stupidissimo malware e il mondo
    > > cantinaro
    > > ti
    > > > da
    > > > > dal
    > > > > pallonaro.
    > > > >
    > > > > Hai la mia solidarietà.
    > > >
    > > > ancora? guarda che non viene bucato
    > linux,
    > > > vengono usate credenziali leggittime,
    > > trovate
    > > su
    > > > macchine windows bucate, per fare ssh
    > come
    > > root
    > > > sulle macchine linux e cancellare mbr
    > e/o
    > > > directory di
    > > > sistema:
    > > >
    > > >
    > >
    > http://thehackernews.com/2013/03/south-korea-cyber
    > >
    > > Perdi tempo, il patetico trollone risente
    > ancora
    > > del calcio in culo che si e' preso da
    > Torvalds
    > ai
    > > tempi che
    > > furono....
    >
    > cioè? maxsix ha litigato con Torvalds (non che
    > sia impossibile visto il numero di persone con
    > cui Torvalds riesce a
    > litigare)?
    Il nostro millanta di aver messo mano al kernel 2.2 o 2.4.
    Ora, tenendo conto delle palate di merda che dispensa a piene mani su tutto cio' che ha a che fare con l'open e dell'ego ipertrofico del soggetto, direi che l'ipotesi di un calcio nel culo per manifesta incompetenza e/o impossibilita' a lavorare in gruppo ci sta tutta....
    non+autenticato
  • - Scritto da: Trollollero

    > Il nostro millanta di aver messo mano al kernel
    > 2.2 o
    > 2.4.
    > Ora, tenendo conto delle palate di merda che
    > dispensa a piene mani su tutto cio' che ha a che
    > fare con l'open e dell'ego ipertrofico del
    > soggetto, direi che l'ipotesi di un calcio nel
    > culo per manifesta incompetenza e/o
    > impossibilita' a lavorare in gruppo ci sta
    > tutta....
    uuauuaua... uno dalla notoria abilita' di maxsix avra', AL MASSIMO, modificato le righe di commento sul copyright, su un file .c o .h, nella /src/linux ...
    non+autenticato
  • - Scritto da: maxsix
    > Piallano l'MBR degli scatolotti linux con un
    > stupidissimo malware e il mondo cantinaro ti da
    > dal
    > pallonaro.
    >
    > Hai la mia solidarietà.

    Fossi in te inizierei a preoccuparmi visto che sui Mac sono in aumento i virusA bocca aperta
    non+autenticato
  • - Scritto da: maxsix
    > Piallano l'MBR degli scatolotti linux con un
    > stupidissimo malware e il mondo cantinaro ti da
    > dal
    > pallonaro.

    Dev'essere bello vivere con le proprie convinzioni granitiche, mai scalfite da qualsiasi fastidiosa cognizione di causa, su qualsiasi argomento. Dev'essere bello capire solo quello che ti pare e piace, indipendentemente dalla realtà.
    Sicuramente vivi meglio di chi capisce e conosce qualcosa.
    Funz
    12944
  • - Scritto da: maxsix
    > Hai la mia solidarietà.

    E tu hai la nostra tutta, spero solo che tu sia un troll e non davvero convinto di quello che scrivi altrimenti ti suggerisco di sospendere l'attivita' sul forum e studiare, ma tanto.
    non+autenticato
  • http://thehackernews.com/2013/03/south-korea-cyber...

    Un malware che riesce a riscrivere l'MBR senza che il sistema dica bau bau o micio micio.

    Molto bene, unimente.

    Molto bene.
    maxsix
    8956
  • - Scritto da: maxsix
    > http://thehackernews.com/2013/03/south-korea-cyber
    >
    > Un malware che riesce a riscrivere l'MBR senza
    > che il sistema dica bau bau o micio
    > micio.
    >
    > Molto bene, unimente.
    >
    > Molto bene.

    Gia, prendendo la pwd di root da windows, ah il sistema buca anche il mac.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: maxsix
    > >
    > http://thehackernews.com/2013/03/south-korea-cyber
    > >
    > > Un malware che riesce a riscrivere l'MBR
    > senza
    > > che il sistema dica bau bau o micio
    > > micio.
    > >
    > > Molto bene, unimente.
    > >
    > > Molto bene.
    >
    > Gia, prendendo la pwd di root da windows, ah il
    > sistema buca anche il
    > mac.

    Cazzate.

    Il link è stato cuttato per ignoti motivi.

    Lo riposto, c'è spiegato tutto per filo e per segno.

    http://thehackernews.com/2013/03/south-korea-cyber...

    Certo le credenziali le va a prendere dai terminali SSH installati sotto PC.
    Ma farsi piallare l'MBR così....

    Mah.
    -----------------------------------------------------------
    Modificato dall' autore il 22 marzo 2013 10.05
    -----------------------------------------------------------
    maxsix
    8956
  • - Scritto da: maxsix
    > - Scritto da: krane
    > > - Scritto da: maxsix
    > > >
    > >
    > http://thehackernews.com/2013/03/south-korea-cyber
    > > >
    > > > Un malware che riesce a riscrivere l'MBR
    > > senza
    > > > che il sistema dica bau bau o micio
    > > > micio.
    > > >
    > > > Molto bene, unimente.
    > > >
    > > > Molto bene.
    > >
    > > Gia, prendendo la pwd di root da windows, ah
    > il
    > > sistema buca anche il
    > > mac.
    >
    > Cazzate.
    >
    > Il link è stato cuttato per ignoti motivi.
    >
    > Lo riposto, c'è spiegato tutto per filo e per
    > segno.
    >
    > http://thehackernews.com/2013/03/south-korea-cyber

    eh? guarda che quel link ti da torto:

    "The malware, which it called Jokra, contains a module for wiping remote Linux machines. 'The included module checks Windows 7 and Windows XP computers for an application called mRemote, an open source, multi-protocol remote connections manager.' Symantec said."

    e ancora

    "The malware specifically looks for login credentials saved by two specific SSH clients: mRemote and SecureCRT. It uses any stored root credentials to log into remote Linux servers: for AIX, HP-UX, and Solaris servers it deletes the MBR. If it is unable to delete the MBR, it instead deletes various important folders.' Trend Micro said in their report."

    linux non viene bucato, semplicemente si sfruttano credenziali leggittime, trovate su macchine windows bucate, per fare ssh (con credenziali di root) su macchine linux e cancellare l'mbr e/o cancellare directory di sistema
    non+autenticato
  • Credo che la sua obiezione riguardasse il fatto che in Linux è possibile sovrascrivere l'MBR senza che il sistema dica niente. Beh, si è vero, se sei root sei il padrone incontrastato del mondo e puoi fare quello che ti pare. E' così che deve essere.
    Per questo la prima cosa da fare su qualunque sistema *nix è disabilitare l'accesso root da remoto.
    non+autenticato
  • - Scritto da: ospite
    > Credo che la sua obiezione riguardasse il fatto
    > che in Linux è possibile sovrascrivere l'MBR
    > senza che il sistema dica niente.

    è normale, perchè sugli altri sistemi operativi non è possibile modificare l'mbr (in caso affermativo come si fa a modificare le impostazioni del bootloader)?
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: ospite
    > > Credo che la sua obiezione riguardasse
    > > il fatto che in Linux è possibile
    > > sovrascrivere l'MBR senza che il sistema
    > > dica niente.

    > è normale, perchè sugli altri sistemi operativi
    > non è possibile modificare l'mbr (in caso
    > affermativo come si fa a modificare le
    > impostazioni del bootloader)?

    Su windows non so sanno fare neanche i tecnici ed i programmatori microsoft, per non vergognarsi troppo hanno voluto UEFI cosi' che non lo potesse fare nessuno Rotola dal ridere
    krane
    22544
  • - Scritto da: Leguleio
    > è normale, perchè sugli altri sistemi operativi
    > non è possibile modificare l'mbr (in caso
    > affermativo come si fa a modificare le
    > impostazioni del
    > bootloader)?

    Su windows ti basta un eseguibile di pochi kb per azzoppare il sistema,un doppio clic e tanti saluti a windowsA bocca aperta
    non+autenticato
  • - Scritto da: ospite
    > Credo che la sua obiezione riguardasse il fatto
    > che in Linux è possibile sovrascrivere l'MBR
    > senza che il sistema dica niente. Beh, si è vero,
    > se sei root sei il padrone incontrastato del
    > mondo e puoi fare quello che ti pare. E' così che
    > deve
    > essere.
    Gia', il solito discorso. Se se root fai quello che vuoi, ma se sei administrator su windows e ti piallano il sistema, allora e' windows che e' bacato. Due punti di vista differenti per la stessa cosa.

    La realtà e' che l'unica vulnerabilità di windows e' che li per default c'e' solo l'utente root, quindi e' sempre possibile distruggere tutto. Se assegni i permessi giusti alle varie utenze, windows lo bucano tanto come linux. Il punto e' che nessun sistemista windows lo fa, perche' mediamente i sistemisti windows sono cerebrolesi.

    > Per questo la prima cosa da fare su qualunque
    > sistema *nix è disabilitare l'accesso root da
    > remoto.
    non+autenticato
  • Il problema è questo:

    Windows in defult mette i permessi massimi o simili
    Non t'impone una password per l'accunt
    La gestione dei permessi, almeno fin da XP era cosi orrenda che dovevi essere Amministratore per fare le cose più banali.
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Il problema è questo:
    >
    > Windows in defult mette i permessi massimi o
    > simili
    Diciamo le stesse cose.
    > Non t'impone una password per l'accunt
    > La gestione dei permessi, almeno fin da XP era
    > cosi orrenda che dovevi essere Amministratore per
    > fare le cose più
    > banali.
    Questo succede anche sotto linux, e di per se non e' un male. l'utente per fare qualsiasi cosa deve elevare i privilegi.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)