Niektórzy są przekonani, że systemy oparte na Linuksie to gwarancja bezpieczeństwa. Jest to jednak olbrzymi błąd. Co prawda użytkownicy indywidualni są raczej bezpieczni — chociaż wynika to raczej z marginalnego wykorzystywania Linuksa w PC, a nie zalet samego systemu. Przygotowywanie wirusów na systemy, z których prawie nikt nie korzysta to tylko strata czasu. Sytuacja się jednak zmienia, kiedy pominiemy użytkowników indywidualnych. W końcu systemy oparte na Linuksie są wykorzystywane przez liczne firmy i instytucje — w tym finansowe. Stanowią więc łakomy kąsek dla hakerów.
Linux ma problem z bezpieczeństwem
Problem jako pierwsi zauważyli badacze z firm Blackberry i Intezer, którzy kilka dni temu opublikowali informacje o trudnym do wykrycia złośliwym oprogramowaniu linuksowym, którego celem są instytucje finansowe Ameryki Łacińskiej. Symbiote — bo właśnie taką nazwę nosi ten wirus — umożliwia nieautoryzowanym użytkownikom zbieranie danych uwierzytelniających lub uzyskiwanie zdalnego dostępu do komputera docelowego. Najgorsze jest jednak to, że po zainfekowaniu całe złośliwe oprogramowanie jest ukryte i niewykrywalne.
Jak to możliwe? Otóż nie mamy tu do czynienia z plikiem wykonywalnym jak w przypadku większości tego typu zagrożeń. Zamiast tego Symbiote występuje w postaci współdzielonej biblioteki obiektów. Stamtąd jest on ładowany do aktualnie uruchomionych procesów na komputerze docelowym. Jest to bardzo sprytne zagranie ze strony cyberprzestępców i twardy orzech do zgryzienia dla specjalistów do spraw bezpieczeństwa.
No dobrze, ale co Symbiote może zrobić z komputerem? Niestety, całkiem sporo. Mowa tu o kradzieży danych, w tym uwierzytelniających, oddanie zdalnej kontroli nad komputerem i wykonywanie poleceń wymagających wyższych uprawnień bez konieczności autoryzacji. Dodatkowo może ukrywać aktywność sieciową zainfekowanej maszyny i to na wiele sposobów.
Wartym odnotowania jest także fakt, że Symbiote nie korzysta z kodu wcześniejszych wirusów na Linuksa. Jest to więc zupełnie nowa klasa zagrożenia, która nie ma nic wspólnego z poprzednimi typami ataków, co jeszcze mocniej utrudnia jego wykrycie. Nie oznacza to jednak, że administratorzy sieci są całkowicie bezradni. Mogą oni wykorzystać telemetrię sieci do wykrywania anomalnych żądań DNS. Nie da się więc wykryć wirusa, ale można zauważyć sugestie jego działań. Sam moment wprowadzenia kodu do systemu również może zostać zauważony, pozostawiając po sobie ślady. Wirus jest niewykrywalny, dopiero gdy już znajdzie się w systemie.
Źródło: TechSpot