Bouw je eigen Linux-rootkit met deze open source code

Ontwikkelaars hebben een proof-of-concept op GitHub gezet van een rootkit die zich in de GPU nestelt.

De rootkit draait volledig op een grafische kaart, die is voorzien van zijn eigen RAM. Jellyfish is overigens wel persistent, waardoor de rootkit een reset van het systeem gewoon overleeft. De code is een proof-of-concept (PoC) en de makers ervan hebben de code open source op GitHub gezet, zodat andere onderzoekers ermee kunnen spelen.

Volgens de Jellyfish-ontwikkelaars is de code behoorlijk buggy, incompleet en verre van een bruikbare exploit. De code is dan ook bedoeld voor educatieve doeleinden en om te laten zien dat GPU-malware – een al eerder verwachte evolutie van malware – mogelijk is. Anti-malware scant het RAM op rootkits, maar de GPU wordt nog niet meegenomen.

Het is daarom een interessante PoC, maar het levert niet direct een grote bedreiging op voor Linux-gebruikers. De methode vereist een dedicated grafische kaart en eventuele malware bedreigt daarom voornamelijk gamers op Linux. Dat is een nichemarkt en criminelen richten zich in de regel liever op markten met een grotere ROI op de gecreëerde exploit.

Maar Jellyfish is wel een aardige aanzet tot toekomstige daadwerkelijke malafide GPU-rootkits. De code gebruikt de OpenCL-API en om te werken moet het doelsysteem daarom wel zijn voorzien van compatibele drivers. Momenteel worden grafische kaarten van AMD en Nvidia ondersteund door Jellyfish.