Tajemniczy rootkit atakuje Debiana

Specjaliści ds. bezpieczeństwa informują o wykryciu nietypowego rootkita, napisanego z myślą o atakowaniu kernela Linuksa Debian (wersji Squeeze). Pierwsze analizy wskazują, że złośliwy program infekuje komputery za pośrednictwem exploita osadzonego na stronach WWW.

Rootkit udostępniono przed tygodniem na Full Disclosure - umieścił go tam właściciel pewnej strony WWW. Kod został od tego czasu przeanalizowany przez kilka firm zajmujących się bezpieczeństwem w Sieci (m.in. CrowdStrike oraz Kaspersky Lab), które potwierdziły, że jest to wysoce nietypowe złośliwe oprogramowanie, wyróżniające się m.in. niestandardowym wykorzystaniem ataku typu iFrame injection.

Wiadomo już, że szkodnik jest wysoce wyspecjalizowany - atakuje wyłącznie 64-bitowy kernel Debiana Squeeze (wersja 2.6.32-5). Początkowo próbuje on podłączyć się do pewnych funkcji kernela i ukryć własne wątki. Następnym etapem jest próba przejęcia kontroli nad systemem. Nie wiadomo jednak, co dokładnie ma robić ów program po osiągnięciu tego celu - według specjalistów, rootkit wydaje się nieukończony, więc niewykluczone, że nie dodano do niego wszystkich komponentów zaplanowanych w wersji finalnej. Tezę tę potwierdzają m.in. spory rozmiar pliku instalacyjnego oraz fakt, iż zawiera on kod debugujący.

Zobacz również:

  • Wykryto niebezpieczne złośliwe oprogramowanie na macOS
  • SUSE udostępniło kolejną wersję systemu SLES 15

Zdaniem specjalistów z CrowdStrike najbardziej prawdopodobne jest, że rootkit jest dziełem programistów z Rosji - wykazuje bowiem cechy zbliżone do inicjowanych w tym kraju operacji cyberprzestępczych. "Wydaje się, że nie jest on samodzielnym złośliwym programem, wykorzystywanych np. do ataków na konkretnych użytkowników - bardziej prawdopodobny jest wariant, w którym ów program jest tylko elementem szerzej zakrojonej operacji hakerskiej" - tłumaczą przedstawiciele CrowdStrike.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200