Baru-baru ini, pakar keamanan dari Kaspersky dan Symantec menemukan Trojan mata-mata Linux yang sangat tersembunyi yang mengkhususkan diri dalam mencuri data sensitif dari departemen pemerintah dan industri penting di seluruh dunia.
Penemuan Trojan mata-mata Linux terbaru adalah bagian lain dari teka-teki serangan persisten canggih Kaspersky dan Symantec, Turla, yang ditemukan pada bulan Agustus tahun ini. Target utama serangan "Tulan" adalah departemen pemerintah, kedutaan dan konsulat di 45 negara di seluruh dunia, lembaga penelitian militer, pendidikan dan ilmiah, dan perusahaan farmasi, dan merupakan aktivitas serangan persisten lanjutan APT teratas saat ini, yang berada pada tingkat yang sama dengan Regin yang baru ditemukan, dan sangat mirip dengan malware tingkat negara bagian yang ditemukan dalam beberapa tahun terakhir, seperti Flame, Stuxnet dan Duqu, dan sangat canggih secara teknis.
Menurut Kaspersky Lab, komunitas keamanan sebelumnya hanya menemukan Trojan mata-mata "Tulan" berdasarkan sistem Windows. Dan karena "Tulan" menggunakan teknologi rootkit, sangat sulit untuk dideteksi.
Paparan Trojan mata-mata Linux menunjukkan bahwa permukaan serangan "Tulan" juga menutupi sistem Linux, mirip dengan Trojan versi Windows, Trojan versi Linux dari Trojan "Tulan" sangat tersembunyi dan tidak dapat dideteksi dengan metode konvensional seperti perintah Netstat, dan Trojan memasuki sistem dan tetap diam, kadang-kadang bahkan bersembunyi di komputer target selama bertahun-tahun, sampai penyerang mengirim paket IP yang berisi urutan angka tertentu.
Setelah aktivasi, versi Linux dari Trojan dapat menjalankan perintah sewenang-wenang, bahkan tanpa meningkatkan hak istimewa sistem, dan setiap pengguna istimewa biasa dapat memulainya untuk pemantauan.
Komunitas keamanan saat ini memiliki pengetahuan yang sangat terbatas tentang Trojan versi Linux dan potensi kemampuannya, dan yang diketahui adalah bahwa Trojan dikembangkan dalam bahasa C dan C++, berisi basis kode yang diperlukan, dan mampu beroperasi secara independen. Kode Trojan Turan menghapus informasi simbolis, sehingga sulit bagi para peneliti untuk merekayasa balik dan melakukan penelitian mendalam.
Keamanan Niu merekomendasikan agar administrator sistem Linux dari departemen dan perusahaan penting memeriksa apakah mereka terinfeksi Trojan versi Linux sesegera mungkin, dan metodenya sangat sederhana: periksa apakah lalu lintas keluar berisi tautan atau alamat berikut: news-bbc.podzone[.] org atau 80.248.65.183, yang merupakan alamat server kontrol perintah yang dikodekan oleh Trojan versi Linux yang telah ditemukan. Administrator sistem juga dapat menggunakan YARA, alat penelitian malware sumber terbuka, untuk menghasilkan sertifikat dan mendeteksi apakah sertifikat tersebut berisi "TREX_PID=%u" dan "Remote VS kosong!" Dua senar.
|
Diposting pada 20/12/2014 00.17.04
|
|
|
|
Diposting pada 20/12/2014 20.04.26
Saya merasa orang-orang luar biasa sekarang