Che cos’è un rootkit?

I 5 tipi principali che devi conoscere

Rootkit

Non tutte le minacce informatiche sono facili da rilevare e rimuovere come, ad esempio, i trojan. In effetti, alcune sono così infide che nemmeno il tuo software di sicurezza informatica potrebbe essere in grado di rilevarle. Se il tuo computer è diventato incredibilmente lento, se la memoria RAM è sempre insufficiente anche con una sola scheda del browser aperta o se la schermata blu d’errore è sempre più frequente… il tuo PC potrebbe essere stato infettato da una di queste minacce “invisibili”, un rootkit.

Sommario: Un rootkit è un software o una raccolta di programmi che consente agli hacker di accedere a un dispositivo target e di controllarlo. Sebbene la maggior parte dei rootkit colpisca il software e il sistema operativo, alcuni possono anche infettare l’hardware e il firmware del tuo computer. Continua a leggere per conoscere i principali tipi di rootkit e per scoprire i modi migliori per rimuoverli.

Rootkit

Cos’è un rootkit?

Un rootkit è un software utilizzato dagli hacker per ottenere il controllo completo di un computer o di una rete target. Anche se a volte può essere un unico software, più spesso un rootkit comprende una raccolta di strumenti, che consente agli hacker di accedere in remoto e di controllare a livello di amministratore il computer target. Sebbene i rootkit possano essere impiegati a fini di bene (ad esempio per fornire supporto tecnico remoto), sono per lo più utilizzati per scopi dannosi. Tutti i rootkit includono una backdoor che consente agli hacker di apportare modifiche al sistema.

Anche se sono in circolazione da più di venticinque anni in una forma o nell’altra, la storia dei rootkit odierni può essere fatta risalire alla metà degli anni ’90 e all’ondata di rootkit UNIX e di virus stealth DOS. I primi rootkit per Windows sono stati rilevati a cavallo tra gli anni Novanta e i Duemila; uno degli esempi più rilevanti è stato Vanquish, che registrava le password delle vittime, e FU, che funzionava in modalità kernel e veniva usato per modificare la struttura del sistema e non solo le modalità di accesso.

Gli hacker possono installare i rootkit sui computer presi di mira in vari modi, ma in genere utilizzano un attacco di phishing o qualche altro tipo di ingegneria sociale: in questo modo, i proprietari scaricano e installano inconsapevolmente software malevolo sulle loro macchine e offrono agli hacker il controllo di quasi tutti gli aspetti del sistema operativo. Nella maggior parte dei casi, i rootkit scelgono applicazioni eseguite in modalità utente, sebbene alcuni si rivolgano principalmente ai componenti del core del sistema operativo in modalità kernel e persino al firmware del computer (ad es. il BIOS).

I rootkit sono spesso programmati per disabilitare o rimuovere completamente qualsiasi software antivirus o antimalware eventualmente installato sul computer infetto: si trattava di un problema particolarmente grave in passato, quando la maggior parte dei programmi antimalware non era in grado di rilevare, monitorare e/o arrestare un attacco rootkit; da allora le soluzioni di sicurezza informatica si sono evolute, quindi alcuni dei migliori software antivirus oggi possono rilevare e rimuovere i rootkit dal sistema.

Quali sono i tipi di rootkit?

Esistono diversi tipi di rootkit, ognuno dei quali si rivolge a una parte diversa del tuo computer. Di norma, più sono vicini al nucleo del tuo computer, più le infezioni sono gravi e difficili da rilevare: sebbene i rootkit che compromettono il software sul tuo computer sono piuttosto comuni e facili da gestire, quelli che colpiscono i driver, la memoria e il sistema operativo sono molto più insidiosi.

Tra i cinque tipi più comuni di rootkit:

1. Rootkit modalità utente

I rootkit modalità utente sono i rootkit più lontani dal nucleo del tuo computer e prendono di mira solo il software del tuo PC. Sono quindi anche molto più facili da rilevare e rimuovere rispetto a qualsiasi altro rootkit. Comunemente chiamati rootkit applicazione, sostituiscono i file eseguibili di programmi standard come Word, Excel, Paint o Blocco note. Pertanto, ogni volta che esegui il file .exe dell’applicazione infetta, gli hacker accedono al tuo computer anche se continui a utilizzare il programma in questione come di consueto.

2. Rootkit modalità kernel

A differenza dei rootkit applicazione, i rootkit modalità kernel sono i più pericolosi, poiché colpiscono il nucleo del tuo sistema operativo. Gli hacker li usano non solo per accedere ai file sul tuo computer, ma anche per modificare le funzionalità del tuo sistema operativo aggiungendo il proprio codice. Sebbene questi rootkit possano compromettere sensibilmente le prestazioni del tuo sistema, sono comunque più facili da identificare e gestire rispetto ad altri tipi di rootkit, i cui effetti non si limitano al semplice sistema operativo.

3. Rootkit bootloader

Come suggerisce il nome, i rootkit bootloader influiscono sul Master Boot Record (MBR) e/o sul Volume Boot Record (VBR) del sistema. Sebbene abbiano un impatto diretto sul sistema, questi rootkit si collegano ai registri di avvio piuttosto che ai file, quindi è particolarmente difficile rilevarli e rimuoverli. Inoltre, se uno di questi rootkit inietta codice nel MBR, potrebbe danneggiare il tuo intero computer.

Per fortuna, i rootkit bootloader sono in via di estinzione. Con il rilascio di Windows 8 e 10, la maggior parte dei PC ora include l’opzione Secure Boot, pensata appositamente per proteggerti dai rootkit bootloader. Tuttavia, le macchine che eseguono una versione a 32 bit o a 64 bit di Windows 7 potrebbero comunque essere a rischio.

4. Rootkit memoria

Questi rootkit si nascondono nella memoria ad accesso casuale del tuo computer (RAM) e ne consumano le risorse di calcolo per eseguire una serie di processi malevoli in background. Di conseguenza, i rootkit nella memoria comprometteranno inevitabilmente le prestazioni della RAM del tuo computer. Tuttavia, raramente vengono percepiti come una grossa minaccia, soprattutto perché hanno una durata di vita molto breve: poiché inibiscono la RAM e non iniettano codice permanente, questi rootkit scompaiono non appena riavvii il sistema.

5. Rootkit firmware

Sebbene siano relativamente più rari di altri tipi, i rootkit che colpiscono il firmware rappresentano una seria minaccia per la tua sicurezza online. Piuttosto che mirare al tuo sistema operativo, questi rootkit colpiscono il firmware del tuo computer e installano malware che perfino i migliori programmi antimalware potrebbero non essere in grado di rilevare. I rootkit firmware possono infettare il disco rigido, il router o il BIOS del sistema. Poiché colpiscono l’hardware, consentono agli hacker non solo di monitorare la tua attività online ma anche di registrare i tasti che digiti sulla tastiera.

Esempi di rootkit

Negli ultimi 25 anni, innumerevoli rootkit hanno lasciato il segno sulla sicurezza informatica. Alcuni di essi erano legali, come il rootkit pubblicato da Sony nel 2005 per migliorare la protezione della copia di CD audio o quello rilasciato da Lenovo nel 2015 che installava software non cancellabile sui loro nuovi computer portatili. La maggior parte dei rootkit, tuttavia, è stata sviluppata da hacker sconosciuti con l’obiettivo di compromettere i computer delle vittime e ottenere informazioni sensibili per il proprio guadagno personale (soprattutto economico).

Tra alcuni degli esempi più rilevanti di rootkit:

  • Nel 2008, membri della criminalità organizzata provenienti da Cina e Pakistan hanno infettato centinaia di lettori di carte di credito destinati al mercato dell’Europa occidentale con i rootkit firmware. I rootkit erano programmati per registrare i dati delle carte di credito delle vittime e inviarli direttamente a un server in Pakistan. Nel complesso, gli hacker che hanno architettato la truffa sono riusciti a rubare almeno 10 milioni di sterline clonando le carte di credito e prelevando fondi dai conti delle vittime ignare.
  • Nel 2011, esperti di sicurezza informatica hanno scoperto ZeroAccess, un rootkit modalità kernel che ha infettato più di 2 milioni di computer in tutto il mondo. Anziché influire direttamente sulla funzionalità del computer infetto, questo rootkit scarica e installa silenziosamente il malware sulla macchina infetta e la rende parte di una botnet globale, impiegata dagli hacker per sferrare attacchi informatici. Nonostante alcuni seri tentativi di distruggerlo, al giorno d’oggi ZeroAccess rimane ancora attivo.
  • Nel 2012, esperti di Iran, Russia e Ungheria hanno scoperto Flame, un rootkit utilizzato principalmente per lo spionaggio informatico in Medio Oriente. Compromettendo l’intero sistema operativo del computer, Flame ha la capacità di monitorare il traffico di rete, acquisire schermate e audio dal computer e persino registrare l’attività della tastiera. Sebbene i colpevoli siano ancora sconosciuti, ricerche hanno rivelato che sono stati utilizzati 80 server in tre continenti per accedere ai computer infetti.

Come rimuovere un rootkit

Diversi tipi di rootkit possiedono un livello di privilegio più elevato rispetto alla maggior parte dei programmi di sicurezza informatica, quindi possono essere molto difficili da rilevare. Per eseguire la scansione dei tuoi sistemi alla ricerca di rootkit, è necessario uno strumento antimalware avanzato con componenti aggiuntivi per rootkit. Per fortuna, tutti i migliori strumenti software antivirus sono dotati di uno scanner rootkit integrato e di un dispositivo di rimozione rootkit, per rilevare e rimuovere facilmente queste minacce online.

Se sospetti che il tuo sistema sia stato infettato da un rootkit, dovresti cercare uno o più segni rivelatori di un’infezione, ad esempio prestazioni più lente e RAM esigua, data e ora errate visualizzate nell’angolo in basso a destra dello schermo, nonché frequenti “schermate blu della morte” (cioè le schermate blu d’errore). Inoltre, alcune o tutte le funzionalità del tuo programma antivirus e/o antimalware potrebbero venire disabilitate automaticamente al primo avvio del software infettato dal rootkit.

Sebbene alcuni rootkit possano compromettere anche il tuo hardware, tutti derivano da un’installazione software malevola. Pertanto, la soluzione migliore è utilizzare solo i migliori software antivirus, che sono equipaggiati per proteggerti in tempo reale da tutte le principali minacce, tra cui virus, malware e rootkit. Non dimenticarti di eseguire scansioni regolari del tuo sistema e di aggiornare ogni giorno le definizioni dei virus. Per evitare rootkit bootloader, consigliamo inoltre di aggiornare il tuo sistema operativo attuale a Windows 8 o successivo.

Fonti (in inglese)

 

    Sei protetto?

    Indipendentemente dalla loro gravità, tutte le infezioni da rootkit iniziano con l’installazione di software malevolo. Non mettere a rischio il tuo computer e i tuoi dati.