Alfonso Maruccia

Rootkit, su Linux funzionano con la GPU

Un anonimo team di sviluppatori ha distribuito il codice di un malware per Linux dalla doppia anima, un rootkit e un keylogger capaci di restare invisibili grazie all'utilizzo delle capacitÓ di calcolo della GPU. Ma non solo Linux Ŕ a rischio

Roma - Gli anonimi sviluppatori che si nascondono dietro il Team Jellyfish hanno rilasciato una coppia di malware per Linux, diversi nelle funzioni ma accomunati dalla capacità di sfruttare la GPU discreta eventualmente presente sul sistema per rendersi invisibili ai software di sicurezza.

Nel pieno rispetto dello spirito della community FOSS, i due malware sono distribuiti sotto licenza open source: Jellyfish, il primo esemplare di codice malevolo, è un rootkit "userland" in grado di funzionare sia sulla CPU che sulla GPU sfruttando l'API OpenCL.

Il rootkit si nasconde all'interno della memoria della GPU, da qui può sopravvivere a un eventuale reboot "a caldo" ed è in grado di controllare quello che avviene sulla CPU del sistema tramite accesso diretto alla memoria su canale DMA.
Il secondo malware rilasciato da Team Jellyfish si chiama invece Demon, un keylogger basato su una ricerca del 2013 che, parimenti al rootkit, sfrutta il canale DMA per tenere sotto controllo il buffer della tastiera nascondendosi all'interno della GPU discretta.

Jellyfish e Demon sono malware proof-of-concept pensati per dimostrare i rischi connessi all'abuso delle capacità computazionali delle moderne GPU per computer, codice fornito per scopi "educativi" che gli sviluppatori dicono di voler rifinire ulteriormente nel prossimo futuro. Il team, infatti a href="http://www.pcworld.com/article/2921092/gpu-malware-can-also-affect-windows-pcs-possibly-macs.html#jump" target="_blank">sta lavorando anche ai corrispettivi per sistemi operativi Windows e Mac.

Alfonso Maruccia
Notizie collegate
26 Commenti alla Notizia Rootkit, su Linux funzionano con la GPU
Ordina
  • per cancellarlo è sufficiente tenere spento il computer per circa 30/40 secondi ... Annoiato
    non+autenticato
  • - Scritto da: prova123
    > per cancellarlo è sufficiente tenere spento il
    > computer...A bocca aperta
    non+autenticato
  • Ma una volta che questo rootkit è a punto, non mi è chiaro se il via libera alla circolazione verrà deciso dai legislatori oppure dai forum specializzati in computer science, compreso quello di PI.
    non+autenticato
  • Occorrerà modificare la legislazione vigente.
    Non è impossibile, ma vista la loro pericolisità, il Giappone non ne approverà mai la libera circolazione.
    non+autenticato
  • entrambi molto ben fatti e documentati, complimenti al team
    non+autenticato
  • prima che i trollini arrivino in massa a sparare vaccate su linux http://it.slashdot.org/story/15/05/12/0222211/gpu-...

    qui si parla di malware che gira sulla gpu, e tutti sappiamo che sulla gpu ci girano dei kernel ( nel senso che gli shader sono programmi equivalenti ad un kernel, aventi tutti i diritti e la possibilità di eseguire tutte le istruzioni privilegiate che vogliono )

    inutile dire che questo giochino NON funziona nei sistemi dotati di IOMMU
    non+autenticato
  • - Scritto da: collione
    > prima che i trollini arrivino in massa a sparare
    > vaccate su linux
    > http://it.slashdot.org/story/15/05/12/0222211/gpu-
    >
    > qui si parla di malware che gira sulla gpu, e
    > tutti sappiamo che sulla gpu ci girano dei kernel
    > ( nel senso che gli shader sono programmi
    > equivalenti ad un kernel, aventi tutti i diritti
    > e la possibilità di eseguire tutte le istruzioni
    > privilegiate che vogliono
    > )
    >
    > inutile dire che questo giochino NON funziona nei
    > sistemi dotati di IOMMU

    Sono d'accordissimo con te sulla questione Linux. La diffusione di un malware non dipende dall'OS in sé, ma dalla sua diffusione.
    Ogni sistema operativo, alla fine, è aggredibile. Ovviamente l'effort che ci si dedica è proporzionale al numero di sistemi attaccabili, quindi è normale che Windows sia in cima alla lista, ma nessun OS è al sicuro di suo.

    Capisco meno la precisazione sugli IOMMU: anche i PC hanno uno IOMMU su AGP (il GART) ma sono vulnerabili comunque. Puoi chiarire il concetto ?
    non+autenticato
  • - Scritto da: Isoshi
    > - Scritto da: collione
    > > prima che i trollini arrivino in massa a sparare
    > > vaccate su linux
    > >
    > http://it.slashdot.org/story/15/05/12/0222211/gpu-
    > >
    > > qui si parla di malware che gira sulla gpu, e
    > > tutti sappiamo che sulla gpu ci girano dei
    > > kernel ( nel senso che gli shader sono programmi
    > > equivalenti ad un kernel, aventi tutti i diritti
    > > e la possibilità di eseguire tutte le istruzioni
    > > privilegiate che vogliono )

    > > inutile dire che questo giochino NON funziona
    > > nei sistemi dotati di IOMMU

    > Sono d'accordissimo con te sulla questione Linux.
    > La diffusione di un malware non dipende dall'OS
    > in sé, ma dalla sua diffusione.

    Ma stai fuori ? L'Amiga 500 aveva decine di migliaia di virus ed era diffuso un millesimo di quanto lo siano attualmente i meno diffusi pc.

    > Ogni sistema operativo, alla fine, è aggredibile.

    Certamente, ma alcuni con maggior difficoltà di altri, ad esempio un SELiux con Apparmour non è mai stato exploitato.

    > Ovviamente l'effort che ci si dedica è
    > proporzionale al numero di sistemi attaccabili,
    > quindi è normale che Windows sia in cima alla
    > lista, ma nessun OS è al sicuro di suo.

    In realtà se conti le apparecchiature di rete il kernel linux è molto piò diffuso.

    > Capisco meno la precisazione sugli IOMMU: anche i
    > PC hanno uno IOMMU su AGP (il GART) ma sono
    > vulnerabili comunque. Puoi chiarire il concetto ?

    Come mai dici che sono vulnerabili comunque ?
    non+autenticato
  • - Scritto da: Passante
    > Ma stai fuori ? L'Amiga 500 aveva decine di
    > migliaia di virus ed era diffuso un millesimo di
    > quanto lo siano attualmente i meno diffusi
    > pc.

    Un OS molto diffuso fa anche gola a chi lo vuole forzare perchè sa che anche gli altri utenti usano il medesimo OS...
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: Passante
    > > Ma stai fuori ? L'Amiga 500 aveva decine di
    > > migliaia di virus ed era diffuso un millesimo di
    > > quanto lo siano attualmente i meno diffusi pc.

    > Un OS molto diffuso fa anche gola a chi lo vuole
    > forzare perchè sa che anche gli altri utenti
    > usano il medesimo OS...

    E un OS che tiene su le dorsali fa più gola di uno che sta sulla adsl di casa.
    non+autenticato
  • - Scritto da: ANVI

    > E un OS che tiene su le dorsali fa più gola di
    > uno che sta sulla adsl di
    > casa.

    No, falso.
    Agli spioni militari e simili può interessare di più il primo, ma la malavita preferisce avere le credenziali dei conti di centinaia di milioni di persone.
    non+autenticato
  • - Scritto da: granomelo
    > - Scritto da: ANVI
    >
    > > E un OS che tiene su le dorsali fa più gola
    > di
    > > uno che sta sulla adsl di
    > > casa.
    >
    > No, falso.
    > Agli spioni militari e simili può interessare di
    > più il primo, ma la malavita preferisce avere le
    > credenziali dei conti di centinaia di milioni di
    > persone.

    Addirittura le credenziali dei conti di centinaia di milioni di persone !??!?!

    ...azzo , roba da far fallire intere nazioni. A bocca aperta
  • - Scritto da: aphex_twin
    > - Scritto da: granomelo
    > > - Scritto da: ANVI
    > >
    > > > E un OS che tiene su le dorsali fa più
    > gola
    > > di
    > > > uno che sta sulla adsl di
    > > > casa.
    > >
    > > No, falso.
    > > Agli spioni militari e simili può
    > interessare
    > di
    > > più il primo, ma la malavita preferisce
    > avere
    > le
    > > credenziali dei conti di centinaia di
    > milioni
    > di
    > > persone.
    >
    > Addirittura le credenziali dei conti di centinaia
    > di milioni di persone
    > !??!?!
    >
    > ...azzo , roba da far fallire intere nazioni. A bocca aperta

    E conta che mica passano dalle dorsali quei dati, si faranno la loro rete wirelessA bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • Eccome no certo si fanno la "loro rete wireless" e trasformano l'acqua in vino.
    optional invece il root kit per camminare sulle superfici liquide....
    Per i più bravi invece il resurretional kit (nome in codice Lazarus)
    non+autenticato
  • - Scritto da: ANVI

    > E conta che mica passano dalle dorsali quei dati,

    Lo sanno anche i piccioni che passano cifrate, mentre se hai un trojan nel PC dell'utente le vedi in chiaro.
    non+autenticato
  • - Scritto da: granomelo
    > - Scritto da: ANVI

    > > E conta che mica passano dalle dorsali quei
    > dati,

    > Lo sanno anche i piccioni che passano cifrate,
    > mentre se hai un trojan nel PC dell'utente le
    > vedi in chiaro.

    Quelli sopra non lo sapevano Occhiolino
    non+autenticato