Recentemente, esperti di sicurezza di Kaspersky e Symantec hanno scoperto un Trojan spia Linux estremamente furtivo, specializzato nel rubare dati sensibili da dipartimenti governativi e industrie importanti in tutto il mondo.
L'ultima scoperta di un Trojan spia Linux è un altro pezzo del puzzle dell'attacco persistente avanzato di Kaspersky e Symantec, Turla, scoperto nell'agosto di quest'anno. I principali obiettivi degli attacchi "Tulan" sono dipartimenti governativi, ambasciate e consolati in 45 paesi nel mondo, istituti militari, educativi e scientifici, e aziende farmaceutiche, ed è la principale attività avanzata di attacco persistente APT oggi, allo stesso livello del recentemente scoperto Regin, molto simile al malware statale scoperto negli ultimi anni, come Flame, Stuxnet e Duqu, ed è altamente sofisticato dal punto di vista tecnico.
Secondo Kaspersky Lab, la comunità della sicurezza aveva precedentemente trovato solo il Trojan spia "Tulan" basato sui sistemi Windows. E poiché "Tulan" utilizza la tecnologia dei rootkit, è estremamente difficile da rilevare.
L'esposizione del Trojan spia Linux mostra che la superficie d'attacco del "Tulan" copre anche il sistema Linux, simile alla versione Windows del Trojan, la versione Linux del Trojan "Tulan" è altamente furtiva e non può essere rilevata con metodi convenzionali come il comando Netstat, e il Trojan entra nel sistema rimanendo silenzioso, a volte persino nascosto nel computer del bersaglio per anni, finché l'attaccante non invia un pacchetto IP contenente una specifica sequenza di numeri.
Dopo l'attivazione, la versione Linux del Trojan può eseguire comandi arbitrari, anche senza elevare i privilegi di sistema, e qualsiasi utente privilegiato ordinario può avviarla per il monitoraggio.
La comunità della sicurezza attualmente ha una conoscenza molto limitata della versione Linux del Trojan e delle sue potenziali capacità, e ciò che si sa è che il Trojan è sviluppato in linguaggi C e C++, contiene il codice necessario ed è in grado di operare in modo indipendente. Il codice del Trojan Turan rimuove informazioni simboliche, rendendo difficile per i ricercatori fare il reverse engineering e condurre ricerche approfondite.
Security Niu raccomanda che gli amministratori di sistema Linux di dipartimenti e aziende importanti verifichino il prima possibile se sono infettati dalla versione Linux del Trojan, e il metodo è molto semplice: verificare se il traffico in uscita contiene il seguente link o indirizzo: news-bbc.podzone[.] org o 80.248.65.183, che è l'indirizzo del server di controllo dei comandi codificato rigidamente dalla versione Linux del Trojan scoperto. Gli amministratori di sistema possono anche utilizzare YARA, uno strumento open source di ricerca sui malware, per generare certificati e rilevare se contengono "TREX_PID=%u" e "Remote VS is vuoto!" Due corde.
|
Pubblicato su 20/12/2014 00:17:04
|
|
|
|
Pubblicato su 20/12/2014 20:04:26
Sento che ora le persone sono fantastiche