Gli esperti di sicurezza nel mondo Linux potrebbero in futuro avere a che fare con una nuova minaccia. Nei giorni scorsi, infatti, è apparso sulla mailing list del portale Full Disclosure un file binario contenente un malware studiato per colpire gli utenti del pinguino e dalle prime analisi il progetto sembrerebbe esser stato realizzato in Russia da mani particolarmente esperte. Al momento, però, il malware sarebbe ancora in fase di sviluppo, rendendo possibili eventuali misure di precauzione.
Nello specifico, trattasi di un rootkit destinato alla distribuzione Debian in versione Squeezy 6, con particolare riferimento al kernel 2.6.32-5-amd64, uno degli ultimi a disposizione. Una volta insinuatosi all’interno del computer della vittima, una delle principali operazioni eseguite è la sostituzione della funzione tcp_sendmsg, incaricata di inviare pacchetti mediante protocollo TCP, con una propria versione appositamente realizzata per eseguire non meglio identificate operazioni su ogni pagina Web servita verso l’esterno.
Il malware in questione per tale motivo potrebbe in un sol colpo infettare centinaia di siti Web, soprattutto qualora gli autori riescano ad insediarlo all’interno dei server di società di hosting. Ogni singola pagina processata ed inviata ai client potrebbe compromettere quindi la sicurezza di questi ultimi, essendo l’attacco basato sulle fondamenta del protocollo HTTP. Secondo la società di sicurezza CrowdStrikes, inoltre, sarebbe anche relativamente semplice modificare il codice sorgente al fine di sferrare attacchi specifici contro bersagli ben identificati, rendendo l’intera questione particolarmente importante.
Diverse altre sono poi le aziende operanti nel campo della sicurezza informatica che hanno analizzato il malware ed il comune denominatore di ciascun resoconto è la sorpresa dinanzi ad un rootkit decisamente avanzato, realizzato con tecniche generalmente poco adottate in precedenza, ma soprattutto in grado di colpire laddove non ci si aspetterebbe un’aggressione. Il software ha tuttavia mostrato chiari segni di uno sviluppo non ancora terminato, ma ben presto potrebbe giungere sul mercato nero una versione definitiva in grado di creare non pochi problemi al mondo della sicurezza.