Większość firm wskazuje na ransomware jako największe cyberzagrożenie. O rootkitach słyszy się bardzo rzadko, tymczasem potrafią one być wyjątkowo niebezpiecznie i poczynić poważne szkody.
W 2010 roku media na całym świecie rozpisywały się o wirusie Stuxnet, który miał zdolność do infekowania systemów SCADA (Supervisory Control and Data Acquisition). Robak komputerowy był skierowany przede wszystkim przeciwko irańskiemu programowi nuklearnemu i spowodował uszkodzenie wielu centrów przemysłowych w tym kraju.
Stuxnet należy do grupy rootkitów, czyli oprogramowania, którego zadaniem jest ukrywanie złośliwego kodu w urządzeniu. Sam termin wywodzi się z połączenia „root” (najwyższy poziom uprawnień w systemie komputerowym) oraz „kit” (zbiór narzędzi lub komponentów oprogramowania). Choć od czasów Rootkita upłynęło już trzynaście lat, to wcale nie oznacza, że odeszły one do lamusa. Jest wręcz przeciwnie, rootkity powracają.
– W bieżącym roku odnotowujemy renesans rootkitów jako funkcji pakietów złośliwego oprogramowania. Cyberprzestępcy wykorzystują je do ukrywania złośliwego oprogramowania przed skanerami antywirusowymi i rozwiązaniami zabezpieczającymi. Rootkit uniemożliwia użytkownikom wykrycie nielegalnego dostępu do ich komputerów. Wiadomości wysyłane do przestępców są ukrywane na komputerze, podobnie jak powiązane z nimi pliki i procesy – zauważa Robert Dziemianko, Marketing Manager G DATA Software.
Rootkity zapewniają przestępcom nieautoryzowany dostęp i kontrolę nad rdzeniem systemu. Co gorsza, posiadają ponadprzeciętne zdolności do ukrywania swojej obecności, działając na głębokim poziomie w systemie operacyjnym, modyfikując krytyczne pliki lub komponenty. Dzięki temu mogą ominąć mechanizmy bezpieczeństwa i pozostać w ukryciu przed oprogramowaniem antywirusowym i innymi środkami ochronnymi. Badacze wykazali, że napastnicy kopiują rootkity z GitHub i włączają te programy do swoich łańcuchów ataków.
– Zasadniczy problem polega na tym, że rootkity nie są uważane za złośliwe oprogramowanie w pierwotnym znaczeniu i dlatego są legalnie dostępne w GitHub. Takie oferty są szczególnie interesujące dla przestępców z niewielką wiedzą informatyczną, ponieważ programowanie rootkitów jest dość trudnym zadaniem – tłumaczy Robert Dziemianko.
W poszukiwaniu rootkita
Sposoby dystrybucji rootkita zasadniczo nie różnią się od tych wykorzystywanych przez inne złośliwe programy. Napastnicy szukają luk w zabezpieczeniach systemu i lubują się w technikach socjotechnicznych. Próbując nakłonić użytkowników do zainstalowania rootkitów, kuszą ich wyskakującymi okienkami typu „właśnie wygrałeś najnowszego iPhone’a”, załącznikami do e-maili czy fałszywymi aktualizacjami oprogramowania. O ile wymienione pułapki ominie każdy rozsądnie myślący internauta, o tyle takie metody jak dołączanie rootkitów do legalnie instalowanego oprogramowania, czy pobieranie drive-by (napastnicy wykorzystują luki w przeglądarkach lub ich wtyczkach), są bardzo podstępne.
Osobną kwestią jest wykrycie rootkita. W tym przypadku mamy do czynienia z zupełnie inną sytuacją, aniżeli podczas ataku ransomware, gdzie ofiara bardzo szybko dowiaduje się, że wpadła w sidła napastników. Rootkity pozostają w ukryciu tak długo, jak to tylko możliwe. Jednak istnieją pewne symptomy wskazujące na obecność tego szkodnika w systemie. Jednym z najczęstszych jest spowolniona praca komputera podczas jego uruchamiania i wyłączania. Rootkit często zużywa zasoby systemu, przyczyniając się do spadku wydajności komputera. Mogą też wystąpić inne, nieoczekiwane zachowania, na przykład częste awarie, komunikaty o błędach lub nietypowe uruchamianie. Niektóre programy antywirusowe wykrywają aktywność rootkitów i wyświetlają alerty. Poza tym rootkity czasami próbują wyłączyć lub ominąć zabezpieczenia systemu. Jeśli oprogramowanie antywirusowe, zapora sieciowa lub inne narzędzia zabezpieczające przestają działać lub zachowują się nienaturalnie bez oczywistej przyczyny, niewykluczone, że sprawcą zamieszania jest właśnie rootkit.
Jak widać, świat rootkitów jest mroczny i pełen niewidzialnych najeźdźców oraz ukrytych zagrożeń. Walka z takim przeciwnikiem nie należy do łatwych, aczkolwiek użytkownicy komputerów nie pozostają wobec niego bezbronni. Szczególnie ważna jest aktualizacja urządzeń, trzeba to robić systematycznie i nie zwlekać z instalacją poprawek udostępnianych przez producentów sprzętu bądź oprogramowania.
Warto również zainwestować w dobrej klasy oprogramowanie antywirusowe. Regularne skanowanie systemu przy użyciu aktualnego antywirusa może pomóc w wykryciu rootkitów.
Ważny jest wybór zaufanego dostawcy, osiągającego dobre wyniki w testach niezależnych organizacji zajmujących się testowaniem badania zabezpieczającego, takich jak AV-Test, czy AV-Comparatives. Specjaliści ds bezpieczeństwa zalecają również przeglądanie logów systemowych, pomagających zidentyfikować podejrzane wpisy lub nieznane procesy.
– Trzeba sobie uzmysłowić, że żadna z wymienionych metod nie gwarantuje 100 % skuteczności, ponieważ cyberprzestępcy cały czas udoskonalają swoje techniki. W związku z tym zalecamy kompleksowe działania i regularne aktualizowanie oprogramowania antywirusowego – podsumowuje Robert Dziemianko.