Récemment, des experts en sécurité de Kaspersky et Symantec ont découvert un cheval de Troie Linux extrêmement discret, spécialisé dans le vol de données sensibles auprès de départements gouvernementaux et d’industries importantes à travers le monde.
La dernière découverte d’un cheval de Troie espion Linux est une autre pièce du puzzle de l’attaque avancée persistante de Kaspersky et Symantec, Turla, découverte en août de cette année. Les principales cibles des attaques « Tulan » sont les départements gouvernementaux, ambassades et consulats dans 45 pays à travers le monde, les institutions militaires, éducatives et de recherche scientifique, ainsi que les entreprises pharmaceutiques, et il s’agit de la principale activité avancée d’attaque persistante APT aujourd’hui, au même niveau que le Regin récemment découvert, très similaire aux malwares d’État découverts ces dernières années, tels que Flame, Stuxnet et Duqu, et est très sophistiqué techniquement.
Selon Kaspersky Lab, la communauté de la sécurité n’avait auparavant trouvé que le cheval espion « Tulan » basé sur les systèmes Windows. Et comme « Tulan » utilise la technologie des rootkits, il est extrêmement difficile à détecter.
L’exposition du cheval espion Linux montre que la surface d’attaque du « Tulan » couvre également le système Linux, similaire à la version Windows du cheval Troyen, la version Linux du cheval de Troie « Tulan » est très furtive et ne peut pas être détectée par des méthodes conventionnelles telles que la commande Netstat, et que le cheval de Troie entre dans le système et reste silencieux, parfois même tapi dans l’ordinateur de la cible pendant des années, jusqu’à ce que l’attaquant envoie un paquet IP contenant une séquence spécifique de chiffres.
Après activation, la version Linux du cheval de Troie peut exécuter des commandes arbitraires, même sans augmenter les privilèges système, et tout utilisateur privilégié ordinaire peut la démarrer pour la surveillance.
La communauté de la sécurité dispose actuellement de connaissances très limitées sur la version Linux du cheval de Troie et ses capacités potentielles, et ce que l’on sait, c’est que le cheval de Troie est développé en langages C et C++, contient la base de code nécessaire et peut fonctionner de manière indépendante. Le code des Troyens Turan supprime les informations symboliques, rendant difficile pour les chercheurs de rétroconcevoir et de mener des recherches approfondies.
Security Niu recommande aux administrateurs système Linux des départements et entreprises importants de vérifier dès que possible s’ils sont infectés par la version Linux du cheval de Troie, et la méthode est très simple : vérifier si le trafic sortant contient le lien ou l’adresse suivante : news-bbc.podzone[.] org ou 80.248.65.183, qui est l’adresse du serveur de contrôle de commande codée en dur par la version Linux du cheval de Troie découverte. Les administrateurs système peuvent également utiliser YARA, un outil open source de recherche sur les logiciels malveillants, pour générer des certificats et détecter s’ils contiennent « TREX_PID= %u » et « Remote VS est vide ! » Deux cordes.
|
Publié sur 20/12/2014 00:17:04
|
|
|
|
Publié sur 20/12/2014 20:04:26
J’ai l’impression que les gens sont incroyables maintenant