Người dùng Linux có nguy cơ bị tấn công kiểu Drive-by bằng rootkit mới

Những nhà nghiên cứu bảo mật đã khám phá ra sự xuất hiện của Rootkit được thiết kế thử nghiệm trên Linux có khả năng lây nhiễm cao vào máy các nạn nhân bằng kiểu tấn công cổ điển Drive-by.
Giới thiệu về kiểu tấn công Drive-by:
Tấn công Drive-by là việc làm thông qua việc khai thác lỗ hổng trình duyệt web, các thành phần plug-in trên trình duyệt web. Chúng có thể diễn ra theo một số cách thức khác nhau và bạn có thể vẫn đang lướt web trong khi các phần mềm độc hại tự động tải về máy mà người dùng không hề hay biết. Nguồn lây nhiễm do các hacker tạo các trang web có chứa mã độc hoặc các trang web bị hacker xâm nhập qua lỗ hổng và cài mã độc vào.
Tin ẩn danh này được gửi tới người sở hữu website Full Disclosure ( website này chuyên cung cấp thông tin những lỗ hổng bảo mật) vào ngày 13 tháng 11, Rootkit này từ khi được hãng bảo mật là Kaspersky và CrowdStrike xác nhận cũng đã phát tán tới các nạn nhân thông qua một kiểu tấn công đặc biệt bằng việc chèn iFrame.
Mục tiêu của Rootkit nhằm vào người sử dụng nhân – kernel 2.6.32-5 của hệ điều hành Debian Squeezy 64 bit, Rootkit này được Kaspersky Lab gọi là ‘Rootkit.Linux.Snakso.a’
Sau khi Rootkit.Linux.Snakso.a cố ‘móc’ vào nhân Linux các chức năng quan trọng và nó sẽ cố gắng che dấu các tiến trình của nó, sau đó nó sẽ bắt đầu giành quyền kiểm soát hệ thống. Mục đích chính của tham vọng này là không rõ ràng mặc dù các nghiên cứu nghi ngờ Rootkit này với mục đích chính trị hoặc phá hoại chứ không phải là mục đích thông thường.
Tin tốt là Rootkit này đang trong quá trình hoàn thiện và nó chứa đủ các khía cạnh lập trình thô để đánh dấu là ‘đang phát triển’. Nó có kích thước nhị phân tương đối lớn lên đến 500kb và gồm cả mã gỡ lỗi, có thể Malware đang trong quá trình hoàn chỉnh.
Điều cần quan tâm là ý đồ của việc tạo Rootkit này đến từ đâu. Theo quan điểm phân tích của CrowdStrike (một công ty bảo mật của Mỹ), nhiều khả năng Nga là nguồn gốc của tội phạm mạng chuyên nghiệp.
CrowdStrike lưu ý trên website: “Xét thấy rằng Rootkit này không lựa chọn chèn iframes vào các máy chủ chạy Nginx thích hợp, Rootkit này dường như là một phần của hoạt động tội phạm chung và nó không có mục tiêu tấn công cụ thể”. “Tuy nhiên một cuộc tấn công Waterhole, nơi một site là mục tiêu được truy cập từ một đối tượng nhất định cũng có vẻ hợp lý”.
Câu chuyện về sự phức tạp của Malware mà chúng tôi chỉ ra mà mục tiêu là bất kỳ nền tảng Linux đã không được đề cập ngoại trừ một số ví dụ nhỏ đã được dẫn chứng.
Gần đây vào tháng 8 công ty bảo mật DrWeb của Nga đã khám phá ra Trojan ‘Wirenet’, Trojan này ăn trộm mật khẩu trình duyệt web. Hoặc các ví dụ khác là Malware đã từng dựa trên nền tảng Java.
Rõ ràng là bọn tội phạm giờ đây có nhiều sự quan tâm hơn vượt qua nền tảng người dùng cơ bản và chi phối người quản trị. Marta Janus của Kaspersky Lab nói: “Rootkit này vẫn đang trong giai đoạn phát triển nhưng chúng cho thấy một cách tiếp cận mới của kiểu tấn công Drive-by download và chúng tôi dự đoán nhất định sẽ có nhiều Malware hơn trong tương lai”.