Elastic Security Labs detalhou a evolução dos rootkits do Linux numa série de investigação em duas partes publicada a 5 de março de 2026. Estas ameaças modernas exploram funcionalidades do kernel como eBPF e io_uring para permanecerem ocultas em ambientes de cloud, IoT e servidores. A investigação destaca como estes rootkits evadem métodos de deteção tradicionais.
Os rootkits do Linux emergiram como uma ameaça significativa para a infraestrutura moderna, particularmente com a adoção crescente do Linux em ambientes de cloud, orquestração de contentores, dispositivos IoT e computação de alto desempenho. Tradicionalmente focados em sistemas Windows, os atacantes mudaram a atenção para o Linux, desenvolvendo rootkits que manipulam o sistema operativo para ocultar processos, esconder ficheiros, mascarar ligações de rede e suprimir a sua presença em listas de módulos do kernel. A furtividade é o objetivo principal de um rootkit, permitindo acesso prolongado a alvos de alto valor como servidores governamentais, infraestrutura de telecomunicações e fornecedores de cloud sem ativar alertas. Os investigadores da Elastic Security Labs rastrearam esta progressão através de gerações: desde o sequestro de objetos partilhados no início dos anos 2000, até implantes de módulos de kernel carregáveis (LKM), e agora para técnicas de evasão baseadas em eBPF e alimentadas por io_uring. Exemplos do mundo real incluem TripleCross, Boopkit e RingReaper, documentados em 2025. O eBPF, originalmente concebido como uma máquina virtual segura no kernel para filtragem de pacotes e rastreamento, permite aos atacantes ligar syscalls e interceptar eventos do kernel sem carregar módulos tradicionais. Este bytecode passa pelo verificador do kernel e é compilado JIT, parecendo legítimo. Os programas eBPF ligam-se a pontos de rastreamento de entrada de syscall ou ganchos do Linux Security Module (LSM) para visibilidade em processos, ficheiros e redes. O io_uring, introduzido no Linux 5.1 para I/O assíncrono de alto desempenho, permite o agrupamento de operações via anéis de memória partilhada, reduzindo eventos de syscall observáveis. Isto cega ferramentas de deteção e resposta em endpoints (EDR) que dependem de monitorização de syscall. Ferramentas tradicionais como rkhunter e chkrootkit falham contra estes, pois implantes eBPF não aparecem em /proc/modules e contornam o Secure Boot. A Elastic recomenda monitorizar syscalls io_uring_enter e io_uring_register anómalos, auditar programas eBPF carregados, usar forense de memória, verificações de integridade do kernel e telemetria sub-OS. As organizações devem impor lockdown do kernel, assinatura de módulos e atualizações para além da versão 6.9, que perturba métodos de hooking mais antigos.
