Rootkit – méně známý, o to nebezpečnější útok

O malwaru, který označujeme termínem rootkit, se toho nepíše tolik jako o jiných typech škodlivého softwaru. Přitom podle odborníků může jít o ten nejnebezpečnější malware vůbec.

V předchozích článcích jsme se zaměřili hned na několik typů nebezpečných programů, které patří do rodiny takzvaného malwaru, tedy škodlivého softwaru, který hackeři využívají k okradení nebo oklamání svých obětí. O většině z nich jste ale možná už někdy slyšeli. Ransomware, phishing, spyware, to všechno jsou i běžným uživatelům dobře známé termíny.

Tentokrát se podíváme na jeden méně „populární“ typ ransomwaru, takzvaný rootkit. To ale v tomto kontextu neznamená méně rozšířený, a už vůbec ne méně nebezpečný. Naopak jde možná o ten nejškodlivější malware, o jakém jsme prozatím psali. Méně populární tady znamená to, že se o něm tolik nepíše, tak často není předmětem bezpečnostních zpráv a článků, a tak o něm uživatelé vědí podstatně méně než v případě takového ransomwaru. I kvůli tomu jsou rootkity kriticky nebezpečné, a to jak z hlediska škod, které mohou způsobit, tak z hlediska toho, jak obtížná je jejich detekce a odstranění.

Původně, v daleké IT historii (to znamená v osmdesátých letech), termín „rootkit“ označoval nástroje, které umožňovaly administrátorský přístup k počítači nebo síti na dálku, a týkal se stařičkých, na UNIXu postavených operačních systémů. Původně se s nimi tedy počítalo jako s legitimními a užitečnými nástroji a sloužily vývojářům ve vývoji a správě sítí na dálku. Jenže, jak už to tak bývá, velmi záhy si schopnosti takových nástrojů osvojili zločinci a poprvé je ke svým vlastním účelům zneužili v roce 1990.

Co dělají a proč jsou tak nebezpečné?

Zjednodušeně řečeno, rootkit je zločinný počítačový program, který je navržený tak, aby těm, kteří ho vytvořili, umožňoval trvalý vzdálený přístup k napadenému počítači. A to přístup, který je privilegovaný, vlastně administrátorský. To znamená, že při svém působení obchází zabezpečení počítače a jakoukoliv potřebu autentizace. Má dokonce vyšší pravomoc a oprávnění než samotný uživatel.

Jedním z charakteristických znaků takových rootkit programů je, že využívají velmi rafinované a aktivní metody, kterými se snaží skrývat svou přítomnost na disku i v pamětech zařízení. Pracují vždy na pozadí a maskují se za jiné legitimní procesy. Skrývají se tak jak před nic netušícím uživatelem, tak dokonce i před ostatními programy, včetně těch bezpečnostních. Ty nejnebezpečnější rootkity v extrémních případech umožňují kyberzločincům vzdáleně ovládat váš počítač.

Dlouhá léta bez povšimnutí

Častěji však rootkity umožňují krást přihlašovací hesla nebo pomáhají hackerům v krádežích kreditních karet a dat z online bankovnictví. Standardně také dovolují na dálku deaktivovat bezpečnostní software, nebo alespoň jeho části. A to tak, aby si toho člověk sledující obrazovku počítače vůbec nevšiml.

V dnešní době jsou rootkity spojovány s dalšími typy zločinného softwaru a počítačovými viry. Jedním z jejich omezení je to, že se obvykle nemohou samy dál šířit, ale do počítače se dostávají manuálně, s instalací podezřelých programů třetích stran a pirátských verzí softwaru. Na chytré telefony se často dostane přes napadené aplikace. Potom fungují tak, že skrývají procesy nějakého jiného nebezpečného softwaru, který se dál už šířit dovede. Když pak tento další malware bezpečnostní nástroje sítě při šíření zachytí, neumí si ho spojit s původním počítačem, protože ten je na první pohled „čistý“.

Jelikož rootkity dovedou zneužít a deaktivovat i bezpečnostní software, je obzvlášť obtížné je odhalit. Samy o sobě nezanechávají stopy a jejich detekce je tvrdý oříšek i pro zkušené odborníky. Je tak velmi pravděpodobné, že jakmile se do zařízení nějaké takový software dostane, zůstane tam velmi dlouho, třeba i celé měsíce či roky. Najdeme nejeden případ, kdy jediným stoprocentním způsobem, jak dobře ukrytý rootkit ze zařízení odstranit, je kompletní formátování a vymazání operačního systému nebo obnovení do továrního nastavení.

Jak se bránit?

Základní poučkou je neinstalovat žádný padělaný software a důvěřovat jen těm programům, které znáte a s nimiž máte zkušenosti. Pokud už k infikování zařízení došlo, není všem dnům konec. Existují bezpečností programy, které se na detekci a léčení rootkitů zaměřují. Pokud škodlivý program a proces najdeme a nepodaří se nám ho odstranit, raději kontaktujeme odborníky.