شماره: IRCNE2012111682
تاريخ: 30/08/91
محققان امنيتي يك روتكيت آزمايشي لينوكس را كشف كردهاند كه براي اين طراحي شده است كه قربانيان منتخب خود را از طريق يك حمله drive-by هدف قرار دهد.
اين موضوع كه نخستين بار روز سيزدهم نوامبر از طرف صاحب يكي از وبسايتهاي آسيب ديده مطرح شد، توسط CrowdStrike و آزمايشگاههاي كسپراسكاي تحت عنوان يك شكل نامتعارف از حمله تزريق iFrame تاييد شده است.
اين روتكيت كه بهطور خاص كاربران Debian Squeezy 64 بيتي (2.6.32-5) را هدف قرار داده است، توسط كسپراسكاي با نام Rootkit.Linux.Snakso.a خوانده ميشود.
Snasko پس از تلاش براي دستيابي به اعمال مهم هسته و پنهان كردن thread هاي خود، سعي ميكند كنترل سيستم هدف را در اختيار بگيرد.
علاوه بر طراحي و ساختار اين بدافزار، چيزي كه اهميت دارد اين است كه اين بدافزار از كجا آمده است. در تحليلهاي CrowdStrike اين نكته بيان شده است كه احتمالا روسيه منشأ اين روتكيت است.
به گفته CrowdStrike، با توجه به اينكه از اين روتكيت براي اين استفاده شده است كه بهطور غير انتخابي iframe ها را به پاسخهاي وبسرور nginx تزريق نمايد، اينطور به نظر ميرسد كه اين روتكيت بخشي از يك عمليات سايبري عمومي است و نه يك حمله هدفمند.
بنا بر اظهارات يكي از اعضاي آزمايشگاههاي كسپراسكاي، اگرچه اين روتكيت هنوز در مرحله توسعه است، ولي نشان دهنده يك رويكرد جديد به دانلود drive-by است و ما قطعا ميتوانيم در آينده منتظر بدافزارهاي بيشتري از اين نوع باشيم.
- 2