Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/11/2012
Descobert un nou 'rootkit' que afecta servidors Linux
S’ha detectat una nova ferramenta d’intrusió, rootkit, que estaria infectant servidors Linux, injectant codi maliciós en les pàgines i readreçant els visitants a diferents llocs infestats de programari maliciós, dirigit a usuaris de Windows.
Segons Kaspersky Lab, que després del descobriment han començat amb l’anàlisi del programari maliciós, el que han denominat com a Rootkit.Linux.Snakso.a està dissenyat per a atacar sistemes de 64 bits i ha sigut compilat per a la versió del nucli Linux 2.6.32-5 utilitzat en Devien Squeeze.
A pesar de la curiositat de l’assumpte, i és que l'ferramenta d’intrusió és capaç de treballar directament sobre el nucli, els experts que ja li han fet una ullada diuen que no pareix un desenrotllament molt professional, per la poca perícia del creador per a evitar la detecció. Així mateix, la incidència d’este pareix molt reduïda.
Les conclusions de l’anàlisi més completa publicada fins a la data (enllaç anterior) inclouen el següent:
-
Tenint en compte que esta ferramenta d’intrusió s’utilitza per a injectar de forma no selectiva iframes en les respostes del servidor web nginx, pareix probable que esta ferramenta d’intrusió és part d’una operació de la delinqüència cibernètica genèrica i no un atac dirigit. [...] Pareix que açò no és una modificació d’una ferramenta d’intrusió a disposició del públic. Sembla més que, açò constituïx el treball d’un programador mitjà sense experiència extensa amb el nucli.
-
Encara que la qualitat del codi seria insatisfactòria per a dirigir un atac greu, és interessant veure com els desenrotlladors relacionats amb el cibercrim que han demostrat una gran habilitat amb les ferramentes d’intrusió Windows, es mouen en direcció Linux. La falta de qualsevol ofuscació i anàlisi apropiada de resposta HTTP és el que finalment ha portat al descobriment d’esta ferramenta d’intrusió, és un indicador més que açò no és part d’un atac sofisticat i dirigit.
-
Sobre la base de les ferramentes, tècniques i procediments empleats i alguna informació de fons que no es pot revelar públicament, és probable que es tracte d’un atacant amb seu a Rússia. Continua sent una pregunta oberta com els atacants han guanyat els privilegis d’arrel per a instal·lar la ferramenta d’intrusió. No obstant això, tenint en compte la qualitat del codi, un exploit d’elevació de privilegis costum pareix molt poc probable.