O Umbreon Rootkit Se Esconde no Escuro e Ameaça o Seu Sistema Linux
O Umbreon pode Ter como Alvo Máquinas de 32 Bits, 64 Bits e ARM
Parece que os usuários de telefones celulares não são os únicos pegos pela mania do Pokémon. Até os hackers parecem estar interessados nos monstrinhos engraçados. Tanto que, na verdade, eles decidiram nomear o mais novo rootkit do Linux como Umbreon - uma criatura Pokémon. De acordo com Bulbapedia, uma enciclopédia Pokémon dirigida pela comunidade, Umbreon gosta de se esconder no escuro, o que torna o nome adequado para um rootkit.
Uma das primeiras coisas que você precisa saber sobre o Umbreon é que ele não pode ser instalado automaticamente. O hacker precisa ter acesso físico ou remoto à máquina para que ocorra uma infecção, o que é uma boa e uma má notícia.
Por um lado, o fato de o executável precisar ser iniciado manualmente significa que é improvável que usuários inexperientes instalem o Umbreon por engano. Por outro lado, no entanto, se os hackers tiverem acesso ao sistema, eles podem colocar o rootkit onde quiserem, o que pode dificultar a detecção automática.
Falando em detecção, o Umbreon é um rootkit de nível 3. Ele funciona no nível do usuário e não coloca objetos mais profundos no sistema, o que, pelo menos em teoria, significa que deveria ser mais fácil lidar com eles do que com outras ameaças. Os atores de ameaças pensaram sobre isso, no entanto, e implementaram algumas técnicas de prevenção de detecção que podem tornar a vida dos usuários um pouco mais difícil.
O Umbreon se injeta nas bibliotecas libc e libcap - dois componentes básicos usados por aplicativos escritos em linguagens de programação populares como PHP, Python, Ruby, Perl, etc. Fundamentalmente, aplicativos codificados nessas linguagens não serão capazes de detectar o rootkit. Agora você pode ver o quão apropriado é o nome do Umbreon.
Pesquisadores da TrendMicro analisaram a ameaça mais detalhadamente recentemente e criaram um guia de remoção. No entanto, eles avisam que você deve tomar cuidado, pois erros durante o processo de remoção podem causar sérios danos ao sistema.
Então, Você pode Remover o Umbreon. Mas o Que Acontecerá Se Você não o Fizer?
Naturalmente, o TrendMicro também analisou a funcionalidade do rootkit e concluíram que o Umbreon é uma ameaça a ser considerada. Conectando-se à biblioteca libc, ele pode inspecionar e alterar os comandos do terminal e, injetando-se na biblioteca libcap, pode detectar o tráfego da rede, abrir sessões SSH e ocultar sua comunicação com o servidor Command & Control. Durante a instalação, o Umbreon também cria um novo usuário (invisível para o proprietário do sistema) através do qual os atacantes podem acessar a máquina via SSH.
O Umbreon carrega outro componente chamado Espeon (também nomeado após uma criatura Pokémon que pronuncia orelhas). Com a ajuda da Espeon, os hackers podem ignorar os firewalls e estabelecer uma conexão direta com a máquina infectada.
Umbreon e Espeon são criaturas fictícias, mas o rootkit e o backdoor que eles podem abrir são ameaças muito reais.