Tajemniczy rootkit atakuje Debiana
- Antoni Steliński,
- 23.11.2012, godz. 10:55
Specjaliści ds. bezpieczeństwa informują o wykryciu nietypowego rootkita, napisanego z myślą o atakowaniu kernela Linuksa Debian (wersji Squeeze). Pierwsze analizy wskazują, że złośliwy program infekuje komputery za pośrednictwem exploita osadzonego na stronach WWW.
Wiadomo już, że szkodnik jest wysoce wyspecjalizowany - atakuje wyłącznie 64-bitowy kernel Debiana Squeeze (wersja 2.6.32-5). Początkowo próbuje on podłączyć się do pewnych funkcji kernela i ukryć własne wątki. Następnym etapem jest próba przejęcia kontroli nad systemem. Nie wiadomo jednak, co dokładnie ma robić ów program po osiągnięciu tego celu - według specjalistów, rootkit wydaje się nieukończony, więc niewykluczone, że nie dodano do niego wszystkich komponentów zaplanowanych w wersji finalnej. Tezę tę potwierdzają m.in. spory rozmiar pliku instalacyjnego oraz fakt, iż zawiera on kod debugujący.
Zobacz również:
- Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
- Ta inicjatywa ma ułatwić firmom zadanie wdrażania systemów AI
Zdaniem specjalistów z CrowdStrike najbardziej prawdopodobne jest, że rootkit jest dziełem programistów z Rosji - wykazuje bowiem cechy zbliżone do inicjowanych w tym kraju operacji cyberprzestępczych. "Wydaje się, że nie jest on samodzielnym złośliwym programem, wykorzystywanych np. do ataków na konkretnych użytkowników - bardziej prawdopodobny jest wariant, w którym ów program jest tylko elementem szerzej zakrojonej operacji hakerskiej" - tłumaczą przedstawiciele CrowdStrike.