Hiljuti avastasid Kaspersky ja Symanteci turvaeksperdid äärmiselt varjatud Linuxi spioonitrooja, mis on spetsialiseerunud tundlike andmete varastamisele valitsusasutustelt ja olulistelt tööstusharudelt üle maailma.
Viimane Linuxi spiooni Trooja avastus on veel üks osa Kaspersky ja Symanteci arenenud püsiva rünnaku Turla puslest, mis avastati selle aasta augustis. "Tulan" rünnakute peamised sihtmärgid on valitsusasutused, saatkonnad ja konsulaadid 45 riigis üle maailma, sõjaväe-, haridus- ja teadusuuringute asutused ning farmaatsiaettevõtted ning on tänapäeval APT tipptasemel arenenud püsivate rünnakute tegevus, mis on samal tasemel kui hiljuti avastatud Regin, ning sarnaneb väga viimastel aastatel avastatud osariigi tasandi pahavarale, nagu Flame, Stuxnet ja Duqu, ning on tehniliselt väga keerukas.
Kaspersky Labi andmetel oli turvakogukond varem leidnud ainult Windowsi süsteemidel põhineva "Tulan" spiooni Trooja. Ja kuna "Tulan" kasutab rootkit-tehnoloogiat, on seda äärmiselt raske tuvastada.
Linuxi spiooni Trooja paljastamine näitab, et "Tulan" ründepind katab ka Linuxi süsteemi, sarnaselt Troojase Windowsi versioonile, Linuxi versioon "Tulanist" on väga varjatud ega ole tuvastatav tavapäraste meetoditega nagu Netstat käsk, ning trooja siseneb süsteemi ja jääb vaikseks, mõnikord isegi aastateks sihtmärgi arvutis varitsedes, kuni ründaja saadab IP-paketi, mis sisaldab kindlat numbrijada.
Pärast aktiveerimist saab Linuxi versioon Troojast täita suvalisi käske, isegi ilma süsteemi privileege tõstmata, ning iga tavaline privileegidega kasutaja saab selle käivitada jälgimiseks.
Turvakogukonnal on praegu väga piiratud teadmised Linuxi versioonist ja selle võimalikest võimalustest ning teada on, et Trojan on arendatud C ja C++ keeltes, sisaldab vajalikku koodibaasi ja suudab iseseisvalt töötada. Turani troojase kood eemaldab sümboolse info, muutes teadlastel keeruliseks tagurpidi insenerimise ja põhjaliku uurimistöö läbiviimise.
Security Niu soovitab oluliste osakondade ja ettevõtete Linuxi süsteemiadministraatoritel võimalikult kiiresti kontrollida, kas nad on nakatunud Linuxi versiooniga Troojast, ning meetod on väga lihtne: kontrollida, kas väljuv liiklus sisaldab järgmist linki või aadressi: news-bbc.podzone[.] org või 80.248.65.183, mis on käsukontrolli serveri aadress, mille on avastatud Linuxi Trooja versioon kõvakodeerinud. Süsteemiadministraatorid saavad kasutada ka YARA-d, avatud lähtekoodiga pahavara uurimistööriista, et genereerida sertifikaate ja tuvastada, kas need sisaldavad "TREX_PID=%u" ja "Remote VS on tühi!" Kaks keelt.
|
Postitatud 20.12.2014 00:17:04
|
|
|
|
Postitatud 20.12.2014 20:04:26
Tunnen, et inimesed on nüüd imelised