Linux-brugere rammes af mystisk drive by-rootkit

Det står ikke klart, om et nyt rootkit mod Linux er del af konventionel pengemotiveret datakriminalitet eller politisk motiveret malware.

Computerworld News Service: Sikkerhedsanalytikere har opdaget et tilsyneladende eksperimentelt Linux-rootkit designet til at inficere sit meget begrænsede udvalg af ofre ved hjælp af et klassisk drive by-angreb via websteder.

Rootkittet blev offentliggjort anonymt 13. november på Full Disclosure af ejeren af et websted, der havde været offer for angrebet.

Det er siden blevet bekræftet af CrowdStrike og Kaspersky Lab, at ofrene inficeres ved hjælp af en usædvanlig form for injektion af en iframe.

Rootkittet er rettet specifikt mod den seneste 64-bit Debian Squeezy kernel (2.6.32-5) og kaldes af Kaspersky Lab "Rootkit.Linux.Snakso.a".

Efter at have forsøgt at trænge ind i vigtige kernel-funktioner og skjule sine egne tråde går Snakso i gang med at kapre systemet.

Det står ikke klart, hvad malwarens specifikke formål er, men analytikerne vurderer, at der er tale om et konventionelt formål frem for et politisk.

Rootkittet ser ud til at være ufærdig, da programmeringen mangler en del finpudsning.

Er stadig under udvikling
Malwarens relativt store binære på 500 kilobyte og det, at den indeholder debug-kode, er yderligere tegn på, at den stadig er under udvikling.

Lige så væsentligt som dens design er spørgsmålet om, hvor den kommer fra.

Analytikeren fra CrowdStrike vurderer, at Rusland er det mest sandsynlige ophav.

Hvis det er tilfældet, så er den fra en verden af professionelle datakriminelle.

"I lyset af at dette rookit bruges til ikke-selektivt at injicere iframes ind i svar fra nginx-webservere, virker det sandsynligt, at rootkittet er del af en generel datakriminel operation og ikke et målrettet angreb," argumenterer CrowdStrike.

Dog kunne dette rootkit ifølge CrowdStrike også være til et Waterhole-angreb, der er et angreb mod et websted, der hovedsageligt besøges af en bestemt gruppe besøgende, med det formål at ramme netop denne gruppe.

Og det er på dette tidspunkt i enhver historie om malware mod Linux, at vi påpeger kompleksiteten involveret i at gå efter denne platform for ikke at nævne det forsvindende lille antal dokumenterede eksempler.

Det seneste eksempel var trojaneren Wirenet i august, der stjal kodeord i browseren og som blev opdaget af det russiske it-sikkerhedsfirma Dr Web.

Andre eksempler har været baseret på Java for at ramme på tværs af platforme.

Det er dog ikke til at komme udenom, at kriminelle nu nærer en mere end blot forbigående interesse for platformen og dens administrator-dominerede brugerbase.

"Selvom dette rootkit stadig er i en tidlig udviklingsfase, så viser det en ny tilgang til drive by-download og vi kan afgjort forvente at se mere af denne form for malware i fremtiden," advarer Marta Janus fra Kaspersky Lab.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategiske it-sikkerhedsdage 2021

God it-sikkerhed er blevet en strategisk disciplin der kombinerer ledelse, adfærd, processer og teknologi. Men hvor lægger du niveauet? Hvad er vigtigt for forretningen og den drift? Hvad er knapt så vigtigt? Hvordan indtænker du it-sikkerheds-indsatsen strategisk? Hvad gør du, når skaden er sket? Bliv klogere på ”Strategiske it-sikkerhedsdage 2021: Trusler, tendenser og værktøjer”.

26. januar 2021 | Læs mere


Fuel your IT with the best-kept secret in IBM

It takes massive computing power to accurately calculate weather forecasts – and to secure that people and businesses are able to access detailed information about whether it is going to rain, shine, storm, or snow. In this seminar, you will have the chance to hear the British Met Office describe how they do exactly that.

28. januar 2021 | Læs mere


Sandheden om Schrems II – erhvervslivets nye Cuba-krise

Konsekvenserne af Schrems II kan meget vel gå hen og blive en af de største udfordringer for danske virksomheder i 2021. Så tjek ind på denne onlinebriefing, hvor den hemmelige Schrems II gæst, ComplyCloud og Datatilsynet giver dig indsigt i, hvad dommen i virkeligheden handler om, og hvilke menneskelige hensyn der ligger bag.

29. januar 2021 | Læs mere






Premium
Tirsdag kårer Microsoft de bedste partnere i Danmark: Proactive og Delegate fører feltet an med flest nomineringer
Landets ypperste Microsoft-partnere bliver tirsdag hædret af Microsofts danske ledelse. 20 virksomheder har fået en indbydelse til det prestigefyldte arrangement. Her er et overblik over, hvem der er blevet nomineret.
Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
White paper
Overser du muligheder for at optimere din Dynamics-investering?
Der er omfattende og ofte oversete muligheder for at understøtte centrale forretningsprocesser med Dynamics 365 Finance & Operations. For eksempel i form af fuld EDI-integration, som optimerer logistik og forsyning. Eller ved at automatisere håndteringen af konsignation eller centrale processer vedrørende elektronisk dokumentflow og dropshipping. Læs mere i dette whitepaper, der også går i dybden med fire konkrete cases.