Recientemente, expertos en seguridad de Kaspersky y Symantec descubrieron un troyano espía de Linux extremadamente sigiloso que se especializa en robar datos sensibles de departamentos gubernamentales e industrias importantes de todo el mundo.
El último descubrimiento de Troyanos espía de Linux es otra pieza del rompecabezas del ataque persistente avanzado de Kaspersky y Symantec, Turla, que se descubrió en agosto de este año. Los principales objetivos de los ataques "Tulan" son departamentos gubernamentales, embajadas y consulados en 45 países de todo el mundo, instituciones militares, educativas y científicas, y compañías farmacéuticas, y es la principal actividad avanzada de ataques persistentes de APT actualmente, que está al mismo nivel que el recientemente descubierto Regin, y es muy similar al malware estatal descubierto en los últimos años, como Flame, Stuxnet y Duqu, y es altamente sofisticado técnicamente.
Según Kaspersky Lab, la comunidad de seguridad solo había encontrado previamente el troyano espía "Tulan" basado en sistemas Windows. Y como "Tulan" utiliza tecnología de rootkits, es extremadamente difícil de detectar.
La exposición del troyano espía de Linux muestra que la superficie de ataque del "Tulan" también cubre el sistema Linux, similar a la versión de Windows del troyano, la versión Linux del troyano "Tulan" es altamente sigilosa y no puede ser detectada por métodos convencionales como el comando Netstat, y el troyano entra en el sistema y permanece en silencio, a veces incluso acechando en el ordenador del objetivo durante años, hasta que el atacante envía un paquete IP que contiene una secuencia específica de números.
Tras la activación, la versión Linux del troyano puede ejecutar comandos arbitrarios, incluso sin elevar privilegios del sistema, y cualquier usuario privilegiado común puede iniciarlo para monitorizarlo.
La comunidad de seguridad actualmente tiene un conocimiento muy limitado sobre la versión Linux del troyano y sus capacidades potenciales, y lo que se sabe es que el troyano está desarrollado en lenguajes C y C++, contiene la base de código necesaria y puede operar de forma independiente. El código de los Troyanos Turan elimina información simbólica, dificultando que los investigadores puedan hacer ingeniería inversa y realizar investigaciones en profundidad.
Security Niu recomienda que los administradores de sistemas Linux de departamentos y empresas importantes comprueben lo antes posible si están infectados con la versión Linux del troyano, y el método es muy sencillo: comprobar si el tráfico saliente contiene el siguiente enlace o dirección: news-bbc.podzone[.] org o 80.248.65.183, que es la dirección del servidor de control de comandos codificada en fija por la versión de Linux del troyano que ha sido descubierta. Los administradores de sistemas también pueden usar YARA, una herramienta de investigación de malware de código abierto, para generar certificados y detectar si contienen "TREX_PID=%u" y "¡La VS remota está vacía!" Dos cuerdas.
|
Publicado en 20/12/2014 0:17:04
|
|
|
|
Publicado en 20/12/2014 20:04:26
Siento que ahora la gente es increíble