Si chiama Galileo o RCS (Remote Control System) ed è un malware “universale” dato che attacca qualsiasi pc e device mobile e lo utilizzano agenzie di intelligence e vari governi.

malware Galileo / RCS
Kaspersky Lab (in collaborazione con Citizenlab) ha analizzato e rilasciato nuovi dettagli riguardanti Galileo / RCS un malware utilizzato principalmente da varie agenzie governative per spiarci. Principale caratteristica di Galileo o RCS / Remote Control System è quella di essere “universale” dato che può attaccare qualsiasi pc con Windows, Mac e Linux e device mobili con Android, Apple iOS, Windows Phone, BlackBerry e Symbian. Il malware Galileo / RCS viene indicato come soluzione per “sicurezza offensiva” e viene normalmente venduto come un normale software, con piattaforma per inviare il malware ai vari device di utenti da spiare.

Stando a Kaspersky, il malware RCS è presente in molti software presenti a fonti non ufficiali, tra i paesi con maggiori segnalazioni queste malware troviamo USA. Regno Unito, Canada, Cina, Equador, Colombia ecc.

Personalmente non ho ben capito come possa attaccare Linux, inoltre stando al report non mi sembra di aver visto casi di di pc / server Linux infettati con questo malware.
A mio avviso noi user Linux possiamo continuare a dormire tranquilli,  gli utenti a maggior rischio sono quelli che installando versioni contraffate di Windows, MS Office, Adobe Photoshop ecc le quali molto spesso in includono ottimi malware, virus ecc.

Per maggiori informazioni su RCS / Galileo consiglio di consultare il post dedicato dal portale securelist.

Ringrazio il nostro lettore Aniello L. per la segnalazione.

  • TopoRuggente

    Per il controllo remoto che soluzioni ?

    • mouse wifi

    • Ermy_sti

      su appstore e play store ci sono le applicazioni ufficiali xmbc

  • Turista X Caso

    ultima riga architettura x86_64,o almeno 64 bit..

  • Molto interessante visto che mi capita di recuperare vecchi pc, avevo gia visto XBMC su Raspbarry PI e mi colpi ho gia fatto delle prove su vari pc ma non cosi vecchi

  • ge

    ma open elec http://www.openelec.tv/ non è di per sè una distribuzione linuz alleggerita e finalizzata a far girare XBMC? perché passare per Arch Linux?

    • vero la scelta di arch è dovuta se si si hanno problemi di hardware oltre ad offrire la possibilità di avere kernel driver per le schede grafiche aggiornati
      inoltre puoi installare i codec preferiti compreso il supporto per sopcast rtmp ecc

  • DeST

    credete sia possibile far girare xbmc su slitaz??

  • ge+

    allora, ricapitoliamo:
    – questo malware “viene venduto”, quindi è un software che va comperato (a meno che “venduto” non abbia nell’articolo il significato di “spacciato per”). Quindi nei software open-source presenti nei repo delle nostre distro non ci dovrebbe essere

    – L’articolo citato come fonte non parla di distro linux affette, parla soprattutto di sistemi mobile (i nomi “linux” e “unix” non compaiono nemmeno)

    – non vedo come un os linux possa essere affetto dal malware, se non tramite connessione cavo o rete connessa ad uno de device incrriminati (o ad una rete condivisa con windows o mac, sempre stando alla fonte)

    Per caso, Kaspersky Lab sta preparando o ha già sviluppato un antivirus multipiattaforma?

    • cippalippa

      se ci pensate e’ capovolgere il senso del diritto, cioe’ un ente governativo o para-governativo (senza alcun diritto e senza alcuna legge) quindi sono loro ad essere illegali (nell’eventualita’ che utente si accorgesse potrebbe denunciare l’accaduto) dov’e’ la tutela dei diritti fondamentali di ogni individuo e vita privata? a questo punto equivale a soggetti estranei che ti entrano in casa e controllano la vita delle persone senza nessun diritto costituzionale. sono loro i veri hackers, dovrebbero sgominarli se venisse applicata la legge correttamente o no?

  • Rand Al Mucck

    Come un malware “ufficiale” possa attaccare linux? oh be… chi è che si compila tutto in casa? forse l’1-2% degli utenti linux, professionali o che hanno molto (ma molto molto molto) tempo libero e zero o quasi vita sociale? La maggior parte usa distribuzioni a pacchetti e non si sogna minimamente di analizzare il codice… che ne sai che quello che c’è nel pacchetto è davvero la stessa cosa del sorgente compilato alla vaniglia? Da questo punto di vista non c’è differenza col closed source.
    E poi, ormai tutte le distro (tranne quelle da talebani dell’OSS) contengono pacchetti stra-closed-only: flash plugin (no plugin=no youtube, checchè se ne dica), skype (e non rispondete che c’è Ekiga, fallo usare ai tuoi contatti se ci riesci… sarebbe già un successo convincere gli amici stretti), AMD Catalyst/blob NVidia (il treddì sembra fluido lo stesso coi driver open, ma quando i poligoni diventano tanti – e qualsiasi gioco appena decente ne ha tanti ma tanti tanti), Java (se la distro ti mette quello di Oracle invece dell’openjdk)…
    Poi ci sono i programmi windows da far girare sotto wine, e oltre non dico.

    • Alessandro Di Dio Martello

      Se fosse manipolato un pacchetto di un repository (quindi alche il suo sorgente), nell’immediato potrebbe essere come dici tu. La comunità però oltre che da semplici “user” è composta anche da sviluppatori che spulciano bug nel sorgente.. e a quel punto prima o poi l’inghippo viene alla luce del sole.
      E’ comunque difficile che queste minaccie arrivano da dentro il S.O, di solito accade, come nel caso di utenti Windows, che venga installato qualcosa di “terze parti” di origine sconosciuta con sorpresa inclusa.

    • flash è MORTO!

      quoto tutto tranne il no plugin=no youtube, è l’unico sito che funziona senza flashplayer installato.

    • ange98

      Di quello che scrivi io uso Flash player 😀
      I driver open della ATI io li trovo fatti abbastanza bene e ho avuto performance migliori con questi che con quelli closed (i catalyst) perciò ripeto: di quello scritto nella lista uso solo flashplayer (anzi per la precisione pepperflash su chromium). Insieme a Steam, è l’unico software closed che installo in ogni distro, il resto dei programmi closed è opzionale.

    • ge+

      pure io solo flash tra quelli che citi

      secondo me l’unica soluzione per eliminare le paranoie è quella di usare una distro con il kernel deblobbed ed applicazioni totalmente open (tipo parabola gnu/linux), o compilarsi BSD a mano (ricordiamoci che pure il kenel linux ha una piccola parte di codice chiuso)
      Inoltre, utilizzare sistemi di criptaggio e connessioni VPN; ed a queste cose aggiungo selezionare accuratamente l’hardware, poichè il 90% contine firmware chiuso, probabilmente malevolo

    • Cristian Martina

      Codice chiuso nel kernel Linux?
      Da dove ti è uscita sta roba?

      • ge+

        il kernel linux contiene una parte di codice chiuso, necessaria per la compatibilità hardware .

        Esiste una versione del kernel linux, detta linux-libre, compilata escludendo tale parte di codice.

        Ciò rende linux-libre “110% open-source” , ma non lo rende compatibile con tutto l’hardware che utilizza il firmware chiuso del kernel

        • Cristian Martina

          No.
          http://it.wikipedia.org/wiki/Linux_(kernel)
          Il kernel linux è open source
          Da non confondere con i kernel personalizzati tipo da Canonical.

        • TopoRuggente

          Veramente i firmware non sono nel kernel, ma sono caricati a parte e possono solo interagire con l’hardware.

          Il kernel non permette dialogo fra i driver della scheda video e la scheda di rete.

          • ge+

            il kernel viene rilasciato dalle distro con i firmware integrato a quanto ne so.
            Correggimi se sbaglio, ma per avere il kernel senza i firmware chiusi o si usno gli script per il deblobbing o lo si deve compilare a mano escludendoli

      • Rand Al Mucck

        kernel? Non ho parlato di kernel!! E non c’è bisogno di arrivare al kernel perché un malware possa fare danni!

    • TopoRuggente

      Vaneggiamenti a parte, vediamo di passare a livello informatico.
      Perche siamo linux … mica Windows

      È una software vecchio, ma ti deve essere sfuggito md5sum, tutti i pacchetti installati dalle distribuzione serie (se ne scegli un’altra problema tuo), passano per l’analisi di questo software.
      Potrei passarti l’md5sum di un pacchetto “malevolo”, ma poi non verrebbe accettata l’installazione di quello compilato a mano, quindi subito ci si accorgerebbe che qualcosa di strano accade.

      Inoltre per accedere altuo computer dall’esterno dovrei
      1) Aprire delle porte sul tuo router
      2) Bypassare il firewall
      Quindi oltre al malware dovrei pure passarti una versione del firewall tarocca che apra le porte ad hoc.

      Dulcis in fundo dovrebbe essere un software che gira con diritti di root altrimenti non spio una cippa.

      Quindi dovrei rifilarti
      a) Il malware in un software importante (di root)
      b) Un firewall farlocco

      Io non la vedo così semplice.

      • ArchTux

        Una volta infettato il pc, il router/firewall è relativo, il malware potrebbe:
        a)aprire porte con l’upnp (nel caso fosse attivo)

        oppure semplicemente disponendo di un server d’appoggio:
        b)usare udp per scavalcare il nat
        c)aprire connessioni tcp in uscita sulla porta 80 criptate in ssl e beffare così il firewall…

      • ArchTux

        I pacchetti sono firmati è vero, però se un developer corrotto ci infila dentro qualcosa, mi chiedo quante persone stanno li a ricompilare il sorgente e verificare l’hash del pacchetto compilato… certo è un caso un po’ limite.

        sul discorso root, non sono del tutto d’accordo, anche girando in userspace si possono fare un bel po’ di cose (copiare tutti i file dell’utente, usare webcam e microfono…)
        basterebbe un pagina che sfrutta dei bug del browser/flashplayer/java per iniettare del codice malevolo.
        in questo caso un tool di “mandatory access control” sarebbe molto utile per proteggersi…

    • Andrea De Gradi

      Scusa ma stai dicendo che non possiamo neanche fidarci dei pacchetti che ci danno le varie distribuzioni? Cioè quando faccio apt-get install rischio di installare un virus?

    • Evilegidiux

      No flash=no youtube non è affatto vero. E’ da una vita ormai che guardo youtube senza flashplugin. Basta usare un’estensione di firefox che si chiama “html5 all” . Gli unici video che non si vedono so quelli vevo. Inoltre io guardo anche rai , la7 e mediaset grazie a greasemonkey e ad alcuni script. Quindi senza flash si può!

      • Flash è stramorto.

        ma guarda che senza nessuna estensione, firefox, chrome ed epiphany me li passano TUTTI in html5 su youtube. Compresi quelli vevo. compresi quelli scrausi della gente che si filma col cellulare. E sono sicuro che non ci sia flash installato,l’ho appena testato con una live di Fedora 20 ed è così.

  • Maurizio

    The technician has a range of options from the Factory as well as the additional ability to use Network Injection (not pictured). These options include:
    Network Injection: via injected malicious traffic in cooperation with an ISP
    Tactical Network Injection: on LAN or WiFi
    Melted Application: bundling a Hacking Team dropper alongside a bait application
    Installation Package: a mobile installer
    Exploit: document-based exploit for mobile and desktop
    Local Installation: mobile installation via USB or SD card
    Offline Installation: create an ISO for a bootable SDHC, CD, or USB. This option includes the ability to infected hibernated and powered off devices
    QR Code: a mobile link that, when pictured, will infect the target
    Applet Web: likely a malicious website (depreciated after v. 8.4)
    Silent Installer: a desktop executable that will install the implant
    Infected U3 USB: an auto-infecting U3 USB
    WAP Push Message: the target will be infected if the user accepts the message (works on all mobile operating systems apart from iOS)

  • Giacomo

    “A mio avviso noi user Linux possiamo continuare a dormire tranquilli”
    Questa è la prima falla di vulnerabilità che uno dovrebbe avere l’intelligenza di tappare.

    • Andrea

      Come il Titanic…

    • cippalippa

      sono le tipiche frasi di circostanza che ti fanno toccare di tutto, anche gli orfanelli..

  • Maurizio

    Maggiori dettagli qui con foto:
    http://goo.gl/XO4WsN

  • cippalippa

    quindi non e’ un ”proof on concept” o e’ gia’ in giro a fare danni

    • Maurizio

      E’ già in giro a fare danni.

      • cippalippa

        sostenere che su linux non ci sono rischi.. bah, basta non dargli i permessi, tutto qui. se fosse invisibile a strumenti di diagnosi tra quelli disponibili, nessuno se ne accorgerebbe. alla fin fine bisognerebbe svilupparsi un sistema operativo su misura insieme a poche apps indispensabili e mandare affanc…. tutti.

    • cippalippa

      il termine ”sicurezza offensiva” mi ricorda tanto un’espressione alla Orwell, ossia la manipolazione del vero significato di una parola, stravolto con un fine ben preciso 🙁

  • Antonello Galati

    se è un trojan può attaccare qualunque sistema… (se sei tu a dargli i permessi… non c’è sicurezza che tenga). Se invece usa falle deve esserci dietro un bel team di esperti che lo aggiorna togliendo nel giro di pochi giorni quelle già fixate e scoprendone/implementandone di nuove…cosa per i governi non impossibile coi soldi che hanno.

  • pippo

    Beware… All outdated today

No more articles