Πρόσφατα, ειδικοί ασφαλείας από την Kaspersky και τη Symantec ανακάλυψαν ένα εξαιρετικά stealth Linux spy Trojan που ειδικεύεται στην κλοπή ευαίσθητων δεδομένων από κυβερνητικές υπηρεσίες και σημαντικές βιομηχανίες σε όλο τον κόσμο.
Η τελευταία ανακάλυψη του Linux spy Trojan είναι ένα άλλο κομμάτι του παζλ της προηγμένης επίμονης επίθεσης της Kaspersky και της Symantec, Turla, η οποία ανακαλύφθηκε τον Αύγουστο του τρέχοντος έτους. Οι κύριοι στόχοι των επιθέσεων "Tulan" είναι κυβερνητικά τμήματα, πρεσβείες και προξενεία σε 45 χώρες σε όλο τον κόσμο, στρατιωτικά, εκπαιδευτικά και επιστημονικά ερευνητικά ιδρύματα και φαρμακευτικές εταιρείες, και είναι η κορυφαία προηγμένη δραστηριότητα επίμονων επιθέσεων APT σήμερα, η οποία βρίσκεται στο ίδιο επίπεδο με το πρόσφατα ανακαλυφθέν Regin, και μοιάζει πολύ με το κακόβουλο λογισμικό σε κρατικό επίπεδο που ανακαλύφθηκε τα τελευταία χρόνια, όπως το Flame, το Stuxnet και το Duqu, και είναι εξαιρετικά εξελιγμένο τεχνικά.
Σύμφωνα με την Kaspersky Lab, η κοινότητα ασφαλείας είχε προηγουμένως βρει μόνο το κατασκοπευτικό Trojan "Tulan" που βασίζεται σε συστήματα Windows. Και επειδή το "Tulan" χρησιμοποιεί τεχνολογία rootkit, είναι εξαιρετικά δύσκολο να εντοπιστεί.
Η έκθεση του κατασκοπευτικού Trojan του Linux δείχνει ότι η επιφάνεια επίθεσης του "Tulan" καλύπτει επίσης το σύστημα Linux, παρόμοια με την έκδοση Windows του Trojan, η έκδοση Linux του Trojan "Tulan" είναι εξαιρετικά κρυφή και δεν μπορεί να εντοπιστεί με συμβατικές μεθόδους όπως η εντολή Netstat, και το Trojan εισέρχεται στο σύστημα και παραμένει σιωπηλό, μερικές φορές ακόμη και παραμονεύει στον υπολογιστή του στόχου για χρόνια, έως ότου ο εισβολέας στείλει ένα πακέτο IP που περιέχει μια συγκεκριμένη ακολουθία αριθμών.
Μετά την ενεργοποίηση, η έκδοση Linux του Trojan μπορεί να εκτελέσει αυθαίρετες εντολές, ακόμη και χωρίς να αυξήσει τα δικαιώματα του συστήματος, και οποιοσδήποτε απλός προνομιούχος χρήστης μπορεί να το ξεκινήσει για παρακολούθηση.
Η κοινότητα ασφαλείας έχει επί του παρόντος πολύ περιορισμένη γνώση της έκδοσης Linux του Trojan και των πιθανών δυνατοτήτων του και αυτό που είναι γνωστό είναι ότι το Trojan έχει αναπτυχθεί σε γλώσσες C και C++, περιέχει την απαραίτητη βάση κώδικα και είναι σε θέση να λειτουργεί ανεξάρτητα. Ο κώδικας του Turan Trojan αφαιρεί συμβολικές πληροφορίες, καθιστώντας δύσκολο για τους ερευνητές να αναστρέψουν τη μηχανική και να διεξάγουν εις βάθος έρευνα.
Ασφάλεια Η Niu συνιστά στους διαχειριστές συστημάτων Linux σημαντικών τμημάτων και επιχειρήσεων να ελέγξουν εάν έχουν μολυνθεί με την έκδοση Linux του Trojan το συντομότερο δυνατό και η μέθοδος είναι πολύ απλή: ελέγξτε εάν η εξερχόμενη κίνηση περιέχει τον ακόλουθο σύνδεσμο ή διεύθυνση: news-bbc.podzone[.] org ή 80.248.65.183, η οποία είναι η διεύθυνση διακομιστή ελέγχου εντολών που έχει κωδικοποιηθεί από την έκδοση Linux του Trojan που έχει ανακαλυφθεί. Οι διαχειριστές συστήματος μπορούν επίσης να χρησιμοποιήσουν το YARA, ένα εργαλείο έρευνας κακόβουλου λογισμικού ανοιχτού κώδικα, για να δημιουργήσουν πιστοποιητικά και να εντοπίσουν εάν περιέχουν "TREX_PID=%u" και "Το απομακρυσμένο VS είναι κενό!" Δύο χορδές.
|
Δημοσιεύτηκε στις 20/12/2014 12:17:04 π.μ.
|
|
|
|
Δημοσιεύτηκε στις 20/12/2014 8:04:26 μ.μ.
Νιώθω ότι οι άνθρωποι είναι καταπληκτικοί τώρα