I laboratori Alien Labs di AT&T hanno recentemente scoperto un nuovo malware che prende di mira dispositivi IoT basati su sistema operativo Linux (e la maggioranza dei sistemi IoT lo sono). 

Il malware è stato denominato “Shikitega”: opera attraverso una catena di infezioni, ognuna attuata da moduli che occupano solo poche centinaia di bytes, e dunque tali da passare inosservati. 

Il primo stage del malware appare come un payload di soli 370 byte, frutto della codifica “shikata ga nai”, l’encoder polimorfico basato su XOR molto popolare in quanto presente nella suite di attacco di Rapid 7 Metasploit. 

Il codice di questo primo stage non dipende da alcuna libreria, ed utilizza semplicemente le primitive di sistema (Linux) invocandole mediante istruzione assembly INT (invocazione di un interrupt) con argomento 80h (esadecimale, ossia 128, che è l’interrupt di chiamata a sistema Unix).

Da sempre nel mondo IT la soluzione primaria per identificare e autorizzare un utente all’accesso ad un sistema informatico è stata una parola segreta, la password. La segretezza è però un patto fiduciario tra il sistema e l’utente, in quanto la segretezza non può essere una caratteristica intrinseca della parola, ma può solo derivare dalla sua unicità e dalla non divulgazione di questa a terzi. 

È per questo motivo che la password (segreta) quale strumento esclusivo di identificazione e dunque di sicurezza è da molto tempo posta in discussione (in favore di autenticazioni a più fattori). 

Il primo nemico della sicurezza agli accessi concessi mediante password infatti possiamo essere proprio noi stessi: una password può divenire non più segreta per diversi motivi, di cui tutti (purtroppo) imputabili a noi. 

Una videocamera di sorveglianza si intende strumento per la sicurezza perimetrale e fisica, pertanto i suoi flussi (di immagini) devono essere disponibili sono per i proprietari del perimetro o al limite a quei delegati per i compiti di sorveglianza. 

Cosa succede se questi flussi e le videocamere stesse (per esempio attraverso il controllo di quelle motorizzate e quindi la capacità di orientarle altrimenti) cadono nella disponibilità di non aventi diritto? Inutile parlarne. 

I problemi di sicurezza nei sistemi IoT sono endemici, e quelli delle videocamere sono i più frequenti: basta vedere quanto raccoglie uno strumento di ricerca online come Shodan. 

Se dovessero servire conferme, l’argomento di questo articolo potrebbe certamente bastare, ma è comunque da molto tempo che siamo di fronte ad una progressiva trasformazione nella percezione del mondo delle videocamere IoT, una percezione in cui è aumentata una certa forma di diffidenza, in special modo per quelle di fabbricazione cinese.

Una vecchia conoscenza degli analisti riappare in natura: si tratta del framework di scansione Scanbox, realizzato in JavaScript. 

I ricercatori hanno visto distribuire tale framework da attore di minaccia cinese (molto probabilmente APT TA423, noto anche come Red Ladon, operante dall’isola tropicale cinese di Hainan) mediante tecnica watering hole su target includenti organizzazioni nazionali australiane e società energetiche offshore. 

L’esca sono stati messaggi che rimandavano a siti di notizie web australiani. 

La finalità: lo spionaggio. 

Infatti il particolare APT è stato accusato nel 2021 (DoJ: Dipartimento di Giustizia degli Stati Uniti) di collaborazione con il MSS (Ministero della Sicurezza di Stato, l'agenzia civile di intelligence, sicurezza e polizia informatica per la Repubblica popolare cinese). L’MSS è ritenuto responsabile del controspionaggio, dell'intelligence, della sicurezza politica e spionaggio industriale e informatico da parte della Cina.