Nedávno bezpečnostní experti z Kaspersky a Symantecu objevili extrémně nenápadného špionážního trojana na Linuxu, který se specializuje na krádež citlivých dat z vládních oddělení a důležitých odvětví po celém světě.
Nejnovější objev špionážního trojana na Linuxu je dalším dílkem skládačky pokročilého persistentního útoku Kaspersky a Symantec, Turla, který byl objeven v srpnu tohoto roku. Hlavními cíli útoků "Tulan" jsou vládní oddělení, ambasády a konzuláty ve 45 zemích světa, vojenské, vzdělávací a vědeckovýzkumné instituce a farmaceutické firmy, a jedná se o špičkovou pokročilou trvalou útočnou aktivitu APT, která je na stejné úrovni jako nedávno objevený Regin a velmi podobná malwaru na státní úrovni objevenému v posledních letech, jako jsou Flame, Stuxnet a Duqu, a je vysoce technicky vyspělá.
Podle Kaspersky Lab bezpečnostní komunita dříve našla pouze špionážního trojana "Tulan" založeného na systémech Windows. A protože "Tulan" používá rootkit technologii, je extrémně obtížné ji odhalit.
Odhalení linuxového špionážního trojana ukazuje, že útočná plocha "Tulanu" pokrývá také linuxový systém, podobně jako verze trojanu pro Windows, linuxová verze trojana "Tulan" je velmi nenápadná a nelze ji odhalit konvenčními metodami, jako je příkaz Netstat, a trojan vstoupí do systému a zůstává tichý, někdy dokonce číhá v počítači cíle po několik let, dokud útočník neodešle IP paket obsahující specifickou posloupnost čísel.
Po aktivaci může linuxová verze trojana provádět libovolné příkazy, i bez zvýšení systémových oprávnění, a jakýkoli běžný privilegovaný uživatel ji může spustit pro monitorování.
Bezpečnostní komunita má v současnosti velmi omezené znalosti o linuxové verzi trojského kone a jeho potenciálních schopnostech, a je známo, že trójský kon je vyvinut v jazycích C a C++, obsahuje potřebný kód a je schopen fungovat samostatně. Kód Turan Trojanu odstraňuje symbolické informace, což ztěžuje výzkumníkům zpětné inženýrství a provádění hlubokého výzkumu.
Security Niu doporučuje, aby správci systémů Linux důležitých oddělení a podniků co nejdříve zkontrolovali, zda nejsou infikováni linuxovou verzí trojského koně, a postup je velmi jednoduchý: zkontrolujte, zda odchozí provoz obsahuje následující odkaz nebo adresu: news-bbc.podzone[.] org nebo 80.248.65.183, což je adresa serveru řízení příkazů napevno zakódovaná linuxovou verzí trojana, která byla objevena. Správci systému mohou také použít YARA, open-source nástroj pro výzkum malwaru, k generování certifikátů a detekci, zda obsahují "TREX_PID=%u" a "Remote VS is empty!" Dvě struny.
|
Zveřejněno 20.12.2014 0:17:04
|
|
|
|
Zveřejněno 20.12.2014 20:04:26
Mám pocit, že lidé jsou teď úžasní