Alcuni ricercatori di cybersicurezza hanno portato alla luce una backdoor per Linux mai vista prima, con inquietanti legami con il governo cinese. Questa backdoor, denominata SprySOCKS, ha scosso la comunità della sicurezza informatica ed è "ispirata" ad una vecchia backdoor per Windows.
SprySOCKS trae origine da una backdoor per Windows chiamata Trochilus, emersa per la prima volta nel 2015. Inizialmente osservata dai ricercatori di Arbor Networks, Trochilus presentava una caratteristica unica: operava esclusivamente nella memoria del computer, senza lasciare traccia sulla memoria di archiviazione (HDD o SSD). Questo attributo ha reso la backdoor un avversario elusivo. Le menti dietro Trochilus sono state identificate come APT10, un gruppo creatore di minacce avanzate che ha forti legami con il governo cinese, noto con pseudonimi quali Stone Panda e MenuPass.
Con il passare del tempo il codice sorgente di Trochilus è finito su GitHub, portando alla sua adozione da parte di vari gruppi organizzati. È stato spesso utilizzato insieme a un altro malware, RedLeaves, in sofisticate campagne informatiche.
Il recente campanello d'allarme è suonato quando la società di sicurezza Trend Micro si è imbattuta in un file binario crittografato su un server noto associato a un gruppo sotto sorveglianza dal 2021. Dopo ulteriori indagini nell'archivio di VirusTotal, è stato scoperto un file Linux eseguibile chiamato "mkmon" che contiene le credenziali di decodifica per tale file binario crittografato "libmonitor.so.2". Questa rivelazione ha portato i ricercatori a concludere che "mkmon" funge da file di installazione, responsabile della consegna e della decodifica di libmonitor.so.2.
SprySOCKS combina elementi di Trochilus con una nuova implementazione Socket Secure (SOCKS). Le sue capacità includono la raccolta di informazioni sul sistema, il controllo remoto della shell, l'enumerazione delle connessioni di rete e la creazione di proxy tramite il protocollo SOCKS per lo scambio di dati tra i sistemi compromessi e il server di comando controllato dall'aggressore. Un aspetto preoccupante di SprySOCKS è la sua evoluzione attraverso varie versioni, indicazione di un continuo sviluppo e perfezionamento da parte dei suoi creatori.
Trend Micro ha attribuito SprySOCKS a un attore di minacce che ha chiamato Earth Lusca. Identificato per la prima volta nel 2021 e documentato meticolosamente l'anno successivo, Earth Lusca prende di mira le organizzazioni di tutto il mondo, con particolare attenzione alle entità governative asiatiche. Il loro modus operandi prevede tattiche di social engineering per attirare le vittime su siti web dove cadono inconsapevolmente preda di infezioni malware.
Earth Lusca mostra una doppia motivazione, combinando obiettivi di spionaggio e interessi finanziari. Le loro mire sono rivolte a domini lucrativi come quelli del gioco d'azzardo e delle società di criptovalute.
Il server che ospita SprySOCKS distribuisce anche i famigerati payload Cobalt Strike e Winnti. Cobalt Strike è uno strumento di hacking versatile utilizzato sia dai professionisti della sicurezza informatica sia dai malfattori informatici e offre un ampio kit di strumenti per identificare e sfruttare le vulnerabilità. Earth Lusca lo utilizza per espandere il proprio accesso una volta infiltratosi in un ambiente mirato. Il nome Winnti, invece, si riferisce sia a una suite di malware conosciuta da tempo sia a un termine collettivo per numerosi gruppi di minacce affiliati all'apparato di intelligence del governo cinese, noti per le loro prolifiche attività di hacking.
Alla luce di questa allarmante scoperta, Trend Micro ha fornito indicazioni preziose, tra cui indirizzi IP e hash dei file, consentendo alle potenziali vittime di determinare se sono state colpite dall'assalto informatico di Earth Lusca. La vigilanza e le misure proattive di sicurezza informatica sono oggi più che mai fondamentali per difendersi da queste minacce sofisticate.