As formas que se usam para conseguir infectar máquinas e roubar dados aos utilizadores estão cada vez mais sofisticadas. Passaram a ser usadas técnicas que usam hardware presente nos computadores que até agora não se pensava e que por isso conseguem ser mais difíceis de detectar.
Um grupo de investigadores criou o Jellyfish, um rootkit para Linux que faz uso das placas gráficas e do seu poder de processamento para conseguir correr e com elevadas capacidades de camuflagem.
O Jellyfish é o mais recente conceito de rootkit a ser criado, que apresenta características únicas e que pode bem ser muito difícil de ser detectado e até eliminado.
Foi criado apenas como uma prova de conceito, mas o que revelou é alarmante para todos os utilizadores de sistemas operativos.
A sua característica principal é que se aloja no GPU e é ai que desenrola toda a actividade, conseguindo manter-se presente mesmo durante os necessários reiniciar dos sistemas operativos e das máquinas.
O acesso do Jellyfish à informação é feito com recurso a uma técnica criada para este processamento das placas gráficas, via DMA (direct memory access), e que lhes permite o acesso directo aos dados que estão na memória principal, sem terem de passar pelo CPU, o que dificulta a sua detecção.
O código deste rootkit usa a API OpenCL, criada pelo Kronos Group, um consorcio de empresas vendedoras de GPU’s e outras empresas que desenvolvem standards abertos. Para que o Jellyfish funcione é necessário que os drivers OpenCL estejam presentes no sistema afectado.
Para já o Jellyfish funciona sem qualquer limitação nas placas gráficas AMD e Nvidia, mas as placas Intel devem também ter a capacidade de o correr, graças à AMD APP SDK, um kit de desenvolvimento de software que permite que os GPU’s possam ser usados para acelerar aplicações.
Os criadores do Jellyfish revelaram que o seu código é ainda muito inicial e pouco maduro, mas que em breve poderá ser possível usá-lo de forma mais estável. Toda a informação pode ser encontrada na sua página do GitHub.
Não se espera para o futuro próximo a exploração deste tipo de rootkits, mas a verdade é que o Jellyfish vem provar que são possíveis de criar e de usar.