Linux-brugere rammes af mystisk drive by-rootkit

Det står ikke klart, om et nyt rootkit mod Linux er del af konventionel pengemotiveret datakriminalitet eller politisk motiveret malware.

Annonce:
Annonce:
Computerworld News Service: Sikkerhedsanalytikere har opdaget et tilsyneladende eksperimentelt Linux-rootkit designet til at inficere sit meget begrænsede udvalg af ofre ved hjælp af et klassisk drive by-angreb via websteder.

Rootkittet blev offentliggjort anonymt 13. november på Full Disclosure af ejeren af et websted, der havde været offer for angrebet.

Det er siden blevet bekræftet af CrowdStrike og Kaspersky Lab, at ofrene inficeres ved hjælp af en usædvanlig form for injektion af en iframe.

Rootkittet er rettet specifikt mod den seneste 64-bit Debian Squeezy kernel (2.6.32-5) og kaldes af Kaspersky Lab "Rootkit.Linux.Snakso.a".

Efter at have forsøgt at trænge ind i vigtige kernel-funktioner og skjule sine egne tråde går Snakso i gang med at kapre systemet.

Det står ikke klart, hvad malwarens specifikke formål er, men analytikerne vurderer, at der er tale om et konventionelt formål frem for et politisk.

Rootkittet ser ud til at være ufærdig, da programmeringen mangler en del finpudsning.

Er stadig under udvikling
Malwarens relativt store binære på 500 kilobyte og det, at den indeholder debug-kode, er yderligere tegn på, at den stadig er under udvikling.

Lige så væsentligt som dens design er spørgsmålet om, hvor den kommer fra.

Analytikeren fra CrowdStrike vurderer, at Rusland er det mest sandsynlige ophav.

Hvis det er tilfældet, så er den fra en verden af professionelle datakriminelle.

"I lyset af at dette rookit bruges til ikke-selektivt at injicere iframes ind i svar fra nginx-webservere, virker det sandsynligt, at rootkittet er del af en generel datakriminel operation og ikke et målrettet angreb," argumenterer CrowdStrike.

Dog kunne dette rootkit ifølge CrowdStrike også være til et Waterhole-angreb, der er et angreb mod et websted, der hovedsageligt besøges af en bestemt gruppe besøgende, med det formål at ramme netop denne gruppe.

Og det er på dette tidspunkt i enhver historie om malware mod Linux, at vi påpeger kompleksiteten involveret i at gå efter denne platform for ikke at nævne det forsvindende lille antal dokumenterede eksempler.

Det seneste eksempel var trojaneren Wirenet i august, der stjal kodeord i browseren og som blev opdaget af det russiske it-sikkerhedsfirma Dr Web.

Andre eksempler har været baseret på Java for at ramme på tværs af platforme.

Det er dog ikke til at komme udenom, at kriminelle nu nærer en mere end blot forbigående interesse for platformen og dens administrator-dominerede brugerbase.

"Selvom dette rootkit stadig er i en tidlig udviklingsfase, så viser det en ny tilgang til drive by-download og vi kan afgjort forvente at se mere af denne form for malware i fremtiden," advarer Marta Janus fra Kaspersky Lab.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Daxiomatic ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få bedre performance på forretningskritiske applikationer

Nutidens virksomheder drives af it og specielt software. Bliv opdateret på, hvordan brugen af APM kan hjælpe og understøtte overgangen til en softwaredefineret forretning. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup



Ingen ved hvordan fremtidens computervirus ser ud

Tirsdag d. 31. maj 2016 sætter vi fokus på it-sikkerhed med udgangspunkt i Microsofts teknologier. Her har du mulighed for at møde en række indlægsholdere, der vil inspirere dig til, hvordan du i praksis beskytter dig bedst muligt og hvorfor det er vigtigt at tage truslerne alvorligt - både i it-afdelingen og på direktionsgangen! Læs mere

Microsoft Danmark - 2800 Kongens Lyngby



The Mobile Wave 2016

På Computerworlds Mobile Wave konference d. 2. juni bliver du opdateret på de nye, hotte mobil-trends og får et indblik i de nye løsninger og teknologier. Oplev internationale talere og konkrete danske cases. Alt sammen helt gratis. Læs mere

Scandic Sydhavnen - 2450 København SV







Computerworld
Den næste iPhone bliver kedelig - men så sker der noget virkelig interessant
ComputerViews: Til næste år sker der noget interessant med iPhonen, og derfor kan iPhone-brugere gøre klogt i at vente med at udskifte den gamle iPhone.
CIO
Sådan fik Johnny Vad reduceret it-nedetiden fra 37.000 timer til næsten nul på et enkelt år
Ved at overvåge it-leverandørernes præstationer røg antallet af spildte arbejdstimer ned fra 37.000 til ganske få timer på et enkelt år. "Det er ganske enkelt og uhyre effektivt," fortæller it-chefen, der fik ideen.
Comon
Stortest af antivirusprogrammer: Microsofts sikkerhedsprogram havner helt i bunden
Microsoft havner helt i bunden af denne antivirustest. I den modsatte ende af skalaen klarer en russisk produceret sikkerhedspakke sig bedst. Læs en sammenlignende test af 19 antivirusprogrammer her.
Channelworld
Dansk HP-direktør efter opsplitning: Her er HP's fremtidsplan i Danmark
Interview: Opsplitningen af it-mastodonten HP har givet større frihed til at hjælpe kunder og forhandlere, siger den danske chef for HP's pc- og print-firma, HP Inc. Han spår, at markedet for mobile devices kommer til at drive fremtidens vækst og innovation.
White paper
multikanals kundeservice - Sådan !
Sådan kan der udvikles en effektiv, multikanals kundeservice - Læs i dette white paper hvordan.