Rootkit rammer Linux-brukere
Et uvanlig rootkit spres via drive-by infeksjon på nettsider.
Skadevaren Snakso ser ut til å være laget for å ramme et begrenset utvalg brukere, og analytikere prøver å finne ut om rootkitet er økonomisk eller politisk motivert, skriver Computerworld Danmark.
Oppdagelsen ble offentliggjort 13. nobember av en anonym Linux-bruker som hadde blitt offer for skadevaren. Sikkerhetsselskapene Kaspersky Lab og Crowdstrike har bekreftet funnet, og skadevaren spres med en uvanlig form for iframe injection.
Kaspersky Lab har forøvrig gitt rootkitet navnet Rootkit.Linux.Snakso.a.
Beta-release?
Noe som skiller rootkitet ut fra andre forsøk, er at denne skadevaren er spesielt rettet mot èn spesiell Linux-kjerne i én distribusjon, nemlig (2.6.32-5) i Debian Squeezy 64-bit.
Det virker dessuten som rootkitet ikke er helt ferdig utviklet, for koden skal visstnok bære preg av å ikke være helt polert og ferdigstilt.
Skadevaren er svært stor med sine 500 Kb, og det faktum at den inneholder kode for debugging er ogeå et godt tegn på at skadevaren ikke er klar for prime-time.
Skreddersydd fra Russland?
Analytikerne ved Crowdstrike tror at rootkitet mest sannsynlig er utviklet i Russland, og i så tilfelle er den sannsynligvis utviklet med tanke på å brukes i kriminelle handlinger, mener analytikerne.
Samtidig mener Crowdstrike det er en mulighet for at rootkittet er utviklet med tanke på å ramme en bestemt gruppe brukere av et bestemt nettsted eller webserver-teknologi.
- I lyset av at dette rootkittet brukes til ikke-selektivt å injesere iframes inni svar fra Nginx-webservere, virker det sannsynlig at rootkittet er en del av en generell datakriminell operasjon, og ikke et målrettet angrep, mener Crowdstrike.
Nginx (uttales engine-x, selvsagt) er en åpen webserver, proxy og IMAP/POP3 server utviklet i Russland av Igor Sysoev, og brukes av en rekke høy-profil nettsteder, som for eksempel Netflix, Hulu, Wordpress.com, Github og Zynga.
Vanskelig plattform
Linux er som kjent en vanskelig og komplisert plattform å angripe, spesielt når man går forbi bruker-land og ned i kjernen.
De mest utbredte truslene på plattformen baserer seg på applikasjonslaget, og forsøker gjerne å hente informason fra session, snarere enn å forsøke å ta over serveren, slik et rootkit gjør.
Ofte er det da snakk om kryss-plattform trusler, spesielt Java-basert skadevare.
Samtidig er det ikke til å komme bort i fra at e-skurker ser på den administratordominerte og profesjonelle plattformen Linux som en utappet mulighet.
- Selv om dette rootkittet er i en tidlig utviklingsfase, så viser det en ny tilgang til drive-by downloads og vi kan klart forvente å se mer av denne typen malware i fremtiden, advarer Marta Janus fra Kaspersky Lab.
