Hand of Thief: RSA odkryło pierwszego komercyjnego trojana działającego tylko na Linuksie

Wydawało się, że dla twórców szkodliwego oprogramowania niszowesystemy operacyjne są pozbawione znaczenia – kto chciałby swójwysiłek wkładać w opracowywanie szkodników na Linuksa czyBlackBerryOS-a, gdy można w tym samym czasie zająć się Windows czyAndroidem? A jednak jak twierdzą badacze z firmy RSA, niszowośćplatformy wcale nie oznacza, że jest ona wolna od zagrożeń.Desktopowy GNU/Linux, który przez wiele lat był uważany za systempozbawiony wirusów (w najlepszym razie te eksperymentalne akademickiewirusy trzeba było sobie samemu skompilować, nadać plikom wynikowymodpowiednie uprawnienia i uruchomić), doczekał się wreszcie całkiemudanego malware.Za jedyne 2 tysiące dolarów można kupić na hakerskich forachinternetowych trojana Hand of Thief. Szkodnik instaluje w systemiefurtkę pozwalającą na zdalny dostęp, przechwytuje dane wpisywane doformularzy na stronach WWW (zarówno w sesjach szyfrowanych jak inieszyfrowanych) i ciasteczka, biorąc na swój celownik Firefoksa,Chrome i kilka innych, mniej popularnych przeglądarek. Potrafi teżzablokować dostęp do aktualizacji bezpieczeństwa na zarażonejmaszynie, a także chroni się przed analizą, wykrywając próbyuruchomienia go w zwirtualizowanych środowiskach. [img=aa]Nie byłoby w tych możliwościach nic niezwykłego, ot kolejny prostytrojan, pisany z myślą o wykradaniu poufnych informacji, wszczególności dotyczących e-bankowości, gdyby nie to, że działa onwyłącznie na Linuksie. Obsługuje przynajmniej 15 najpopularniejszychdystrybucji, w tym Ubuntu, Debiana i Fedorę, bez względu nawykorzystywane środowisko graficzne. Narzędzia do sterowania trojanemzawierające też prosty panel kontrolny, pozwalający botmasterowi nazarządzanie aktywnością zarażonych maszyn i pobieranie z nichdanych. Pani Limor Kessem, analityczka z RSA, przyznaje,że to sytuacja niespotykana. Choć rynek komercyjnych trojanówintensywnie się rozwija, to jednak pisanie malware na Linuksa zdarzasię bardzo rzadko. Odpowiada za to z jednej strony względnieniewielka liczba użytkowników tego systemu, z drugiej stronyopensource'owy model rozwoju i wysoka częstotliwość aktualizacjiutrudniają przetrwanie luk umożliwiających zdalne uruchomieniewrogiego kodu. Dlatego też sprzedawcy Hand of Thief sugerująklientom, by próbowali wykorzystać metody społecznej inżynierii dozachęcenia swoich ofiar do instalacji trojana.Oczywiście nie oznacza to, że Linux w ogóle dotąd nie interesowałcyberprzestępców. Ich zainteresowanie koncentrowało się jednak raczejna serwerach i oprogramowaniu dla nich. Przykładowo liczbalinuksowych webserwerów Apache, zarażonych za pomocą zestawu narzędziApmod/Darkleech,przekroczyć miała 20 tysięcy, a ofiarami stały się nawet hosty takichfirm jak Seagate czy Los Angeles Times. Teraz jednak, zdaniem Kessem,sytuacja będzie się zmieniała. Linux, postrzegany przez wieluinternautów jako bezpieczne schronienie przed hakerami, jest chętnieprzez nich wykorzystywany jako system specjalnego zastosowania, docelów takich jak właśnie e-bankowość czy bezpieczna komunikacja.Użytkownicy tacy byli do tej pory faktycznie poza zasięgiem ataków,przygotowywanych z myślą o Windows. Stosunkowo wysoka cena Hand ofThief może być uzasadniona właśnie oferowaniem takiego trojana jakonarzędzia klasy premium – pozwalającego dobrać się do danych ipieniędzy przekonanych o swoim bezpieczeństwie użytkowników Linuksa.