Äskettäin Kasperskyn ja Symantecin tietoturva-asiantuntijat löysivät erittäin huomaamattoman Linux-vakoojatroijan, joka on erikoistunut arkaluonteisten tietojen varastamiseen hallituksen virastoilta ja merkittäviltä toimialoilta ympäri maailmaa.
Viimeisin Linux-vakoilu-troijalainen löytö on toinen pala Kasperskyn ja Symantecin kehittyneen pysyvän hyökkäyksen, Turlan, palapeliä, joka löydettiin elokuussa tänä vuonna. "Tulan"-hyökkäysten pääkohteita ovat hallituksen virastot, suurlähetystöt ja konsulaatit 45 maassa ympäri maailmaa, sotilas-, koulutus- ja tieteelliset tutkimuslaitokset sekä lääkeyritykset, ja se on APT:n korkein kehittynyt jatkuva hyökkäystoiminta nykyään, samalla tasolla kuin äskettäin löydetty Regin, ja on hyvin samankaltainen kuin viime vuosina löydetyt osavaltiotason haittaohjelmat, kuten Flame, Stuxnet ja Duqu, ja on teknisesti erittäin kehittynyt.
Kaspersky Labin mukaan tietoturvayhteisö oli aiemmin löytänyt vain Windows-järjestelmiin perustuvan "Tulan"-vakoojatroijan. Ja koska "Tulan" käyttää rootkit-teknologiaa, sen havaitseminen on erittäin vaikeaa.
Linux-vakooja-troijalaisen paljastuminen osoittaa, että "Tulanin" hyökkäyspinta kattaa myös Linux-järjestelmän, samoin kuin Troijalaisen Windows-versio, Linux-versio "Tulan"-troijalaista on erittäin hiiviskelevä eikä sitä voi havaita perinteisillä menetelmillä, kuten Netstat-komennolla, ja troijalainen saapuu järjestelmään ja pysyy hiljaa, joskus jopa vaanien kohteen tietokoneella vuosia, kunnes hyökkääjä lähettää IP-paketin, joka sisältää tietyn numerosarjan.
Aktivoinnin jälkeen Linux-versio Troijalaista voi suorittaa mielivaltaisia komentoja, vaikka järjestelmän oikeuksia ei nosteta, ja kuka tahansa tavallinen etuoikeutettu käyttäjä voi käynnistää sen valvontaa varten.
Turvallisuusyhteisöllä on tällä hetkellä hyvin rajallinen tieto Linux-versiosta troijalaista ja sen mahdollisista kyvyistä, ja tiedetään, että troijalainen on kehitetty C- ja C++-kielillä, sisältää tarvittavan koodipohjan ja pystyy toimimaan itsenäisesti. Turan-troijalaisen koodi poistaa symbolista tietoa, mikä vaikeuttaa tutkijoiden käänteistä suunnittelua ja syvällistä tutkimusta.
Security Niu suosittelee, että tärkeiden osastojen ja yritysten Linux-järjestelmänvalvojat tarkistavat mahdollisimman pian, ovatko he saaneet Troijanin Linux-version, ja menetelmä on hyvin yksinkertainen: tarkistaa, sisältääkö lähtevä liikenne seuraavan linkin tai osoitteen: news-bbc.podzone[.] org tai 80.248.65.183, joka on komentonhallintapalvelimen osoite, jonka Linux-versio on kovakoodannut ja joka on löydetty. Järjestelmänvalvojat voivat myös käyttää YARA:ta, avoimen lähdekoodin haittaohjelmatutkimustyökalua, luodakseen sertifikaatteja ja tunnistaakseen, sisältävätkö ne "TREX_PID=%u" ja "Remote VS is blank!" Kaksi kieltä.
|
Julkaistu 20.12.2014 0.17.04
|
|
|
|
Julkaistu 20.12.2014 20.04.26
Minusta tuntuu, että ihmiset ovat nyt mahtavia