První informace o záhadném chování několika webových serverů se objevily 13. listopadu, postižení návštěvníci si stěžovali na přesměrování na jiné, infikované stránky. Správci postižených strojů brzy zjistili, že toto chování nezpůsobují vlastní servery WWW, ale přímo jádro systému, na kterém běží. Bezpečnostní společnosti CrowdStrike a Kaspersky Lab nyní potvrdily existenci rootkitu označeného jako „Rootkit.Linux.Snakso.a“, který je cílen pouze na uživatele nejaktuálnějšího 64bitového jádra Debian Squeeze (2.6.32-5).
Dobrou zprávou je, že rootkit obsahuje řadu nedokončených či ladících částí a je očividně teprve vyvíjenou formou budoucího útoku. Tomu nasvědčuje i poměrná rozsáhlost kódu. Podle analytiků jde o experimentální malware, určený k nákaze specifické části linuxové komunity prostřednictvím tzv. drive-by útoku, kdy dochází ke skrytému stahování škodlivého kódu současně s vlastním – neškodným – obsahem navštívené webové stránky.
Rootkit.Linux.Snakso.a se po připojení na důležité funkce jádra Debian Squeeze pokusí zamaskovat svou přítomnost modifikací funkcí pro výpis obsahu disku (jen s částečným úspěchem), požádá o instrukce několik adres IP umístěných v Německu a Švýcarsku a začne přidávat vlastní příkazy ke komunikaci odcházející ze serveru WWW běžícího na postiženém stroji.
Vzhledem k řadě programátorských chyb jde zřejmě o dílo programátora nemajícího dostatečné zkušenosti s podobnými útoky, podle společnosti CrowdStrike je nejpravděpodobnějším místem původu Rusko.
Rozsáhlejší rozšíření tohoto malwaru je vzhledem k řadě jeho omezení velmi málo pravděpodobné, je ale dalším příkladem o rostoucí zájem kybernetického zločinu o expanzi do světa Linuxu a jeho uživatelů. Distribuci Debian používají ale různé odvozené distribuce včetně nejrozšířenějšího Ubuntu, jednou z variant by proto mohlo být testování rootkitu v jiném systému, než na který by mohl bít nakonec skutečně zaměřen.
PŘEDPLATNÉ
ČLÁNKY DO MAILU