Nuova backdoor Linux: tutto quello che devi sapere
Gli hackers di Kimsuky, un gruppo sponsorizzato dallo stato nordcoreano, sono noti per le loro campagne di cyberespionaggio contro obiettivi in Corea del Sud. In una recente campagna, il gruppo ha distribuito una nuova backdoor Linux chiamata Gomir, utilizzando software trojanizzati per infettare i propri obiettivi.
Cos’è la backdoor Gomir?
Gomir è un malware Linux che condivide molte somiglianze con il malware Windows GoBear. Una volta installato, il malware si copia in /var/log/syslogd per garantirne la persistenza e crea un servizio systemd chiamato ‘syslogd’ per avviare il servizio. Il malware supporta 17 operazioni, tra cui l’esecuzione di comandi shell arbitrari, la raccolta di statistiche su directory tree, la creazione di file arbitrari sul sistema e l’esfiltrazione di file dal sistema.
Come funziona la backdoor Gomir?
La backdoor Gomir si installa sul sistema Linux e si copia in /var/log/syslogd per garantirne la persistenza. Successivamente, crea un servizio systemd chiamato ‘syslogd’ per avviare il servizio. Il malware supporta 17 operazioni, tra cui l’esecuzione di comandi shell arbitrari, la raccolta di statistiche su directory tree, la creazione di file arbitrari sul sistema e l’esfiltrazione di file dal sistema.
Come proteggere il tuo sistema Linux
Per proteggere il tuo sistema Linux dalle backdoor come Gomir, è importante prendere alcune precauzioni. Ecco alcuni suggerimenti, soluzioni, consigli e best practice:
- Aggiorna il tuo sistema Linux: Assicurati che il tuo sistema Linux sia aggiornato con le ultime patch di sicurezza.
- Installa un antivirus: Installa un antivirus affidabile sul tuo sistema Linux per rilevare e rimuovere malware come Gomir.
- Evita di installare software da fonti sconosciute: Scarica e installa solo software da fonti affidabili.
- Utilizza un firewall: Configura un firewall sul tuo sistema Linux per bloccare il traffico indesiderato.
- Esegui il backup dei dati: Esegui il backup dei dati importanti su un dispositivo esterno o su un servizio di cloud storage affidabile.
- Utilizza una VPN: Utilizza una VPN per proteggere la tua connessione Internet e nascondere il tuo indirizzo IP.
- Educare gli utenti: Educare gli utenti sulle best practice di sicurezza e sulle minacce informatiche.
I hackers di Kimsuky hanno dimostrato di essere una minaccia significativa per la sicurezza informatica, in particolare per le organizzazioni in Corea del Sud. La distribuzione di una nuova backdoor Linux come Gomir è una preoccupazione seria per la sicurezza dei sistemi Linux. Prendendo le precauzioni appropriate e seguendo le best practice di sicurezza, puoi proteggere il tuo sistema Linux dalle minacce informatiche.
