Наскоро експерти по сигурност от Kaspersky и Symantec откриха изключително незабележим шпионски троян на Linux, който се специализира в кражба на чувствителни данни от правителствени ведомства и важни индустрии по света.
Последното откритие на Linux шпионския троян е още една част от пъзела на напредналата постоянна атака на Kaspersky и Symantec, Turla, която беше открита през август тази година. Основните цели на атаките "Тулан" са правителствени ведомства, посолства и консулства в 45 държави по света, военни, образователни и научноизследователски институции, както и фармацевтични компании, и това е водещата напреднала постоянна атака на APT днес, която е на същото ниво като наскоро открития Regin, и е много подобна на държавния зловреден софтуер, открит през последните години, като Flame, Stuxnet и Duqu, и е изключително технически сложен.
Според Kaspersky Lab, общността за сигурност преди това е намирала шпионския троян "Tulan", базиран на Windows системи. И тъй като "Tulan" използва rootkit технология, е изключително трудно да се открие.
Разкриването на шпионския Троян на Linux показва, че повърхността на атака на "Tulan" покрива и системата на Linux, подобно на версията на Трояна за Windows – версията на Linux-а на трояна "Tulan" е изключително невидима и не може да бъде открита с конвенционални методи като командата Netstat, а троянецът влиза в системата и остава мълчалив, понякога дори дебне в компютъра на целта с години, докато нападателят не изпрати IP пакет, съдържащ определена последователност от числа.
След активацията, Linux версията на Trojan може да изпълнява произволни команди, дори без да повишава системните привилегии, и всеки обикновен привилегирован потребител може да я стартира за мониторинг.
Общността по сигурността в момента има много ограничени познания за Linux версията на Trojan и неговите потенциални възможности, а известно е, че Trojan е разработен на езици C и C++, съдържа необходимата кодова база и може да работи независимо. Кодът на Туран Троян премахва символна информация, което затруднява изследователите да извършват обратно инженерство и да провеждат задълбочени изследвания.
Security Niu препоръчва системните администратори на Linux в важни отдели и предприятия възможно най-скоро да проверят дали са заразени с Linux версията на трояна, а методът е много прост: проверете дали изходящият трафик съдържа следния линк или адрес: news-bbc.podzone[.] org или 80.248.65.183, което е адресът на командния контролен сървър, хардкодиран от Linux версията на трояна, който е открит. Системните администратори могат също да използват YARA, инструмент за изследване на зловреден софтуер с отворен код, за генериране на сертификати и откриване дали съдържат "TREX_PID=%u" и "Remote VS е празен!" Две струни.
|
Публикувано в 20.12.2014 г. 0:17:04 ч.
|
|
|
|
Публикувано в 20.12.2014 г. 20:04:26 ч.
Чувствам, че хората сега са невероятни