Neseniai "Kaspersky" ir "Symantec" saugumo ekspertai aptiko itin slaptą "Linux" šnipinėjimo Trojos arklys, kuris specializuojasi slaptų duomenų vagystėse iš vyriausybinių departamentų ir svarbių pramonės šakų visame pasaulyje.
Naujausias "Linux" šnipinėjimo Trojos arklys atradimas yra dar viena "Kaspersky" ir "Symantec" pažangios nuolatinės atakos "Turla" dėlionės dalis, kuri buvo aptikta šių metų rugpjūtį. Pagrindiniai "Tulan" atakų taikiniai yra vyriausybės departamentai, ambasados ir konsulatai 45 šalyse visame pasaulyje, karinės, švietimo ir mokslinių tyrimų institucijos bei farmacijos kompanijos.
Pasak "Kaspersky Lab", saugumo bendruomenė anksčiau rado tik "Tulan" šnipinėjimo Trojos arklys, pagrįstą "Windows" sistemomis. Kadangi "Tulan" naudoja rootkit technologiją, ją aptikti yra labai sunku.
"Linux" šnipo Trojos arklys rodo, kad "Tulan" atakos paviršius taip pat apima "Linux" sistemą, panašiai kaip "Windows" Trojos arklys, "Tulan" Trojos arklys "Linux" versija yra labai slapta ir negali būti aptikta įprastais metodais, tokiais kaip "Netstat" komanda, o Trojos arklys patenka į sistemą ir tyli, kartais net tyko taikinio kompiuteryje metų metus, kol užpuolikas išsiunčia IP paketą, kuriame yra tam tikra skaičių seka.
Suaktyvinus "Linux" Trojos arklys gali vykdyti savavališkas komandas, net nepadidindamas sistemos privilegijų, o bet kuris paprastas privilegijuotas vartotojas gali ją paleisti stebėjimui.
Saugumo bendruomenė šiuo metu turi labai ribotas žinias apie Trojos arklys Linux versiją ir galimas jos galimybes, o žinoma, kad Trojos arklys yra sukurtas C ir C++ kalbomis, jame yra reikiama kodų bazė ir jis gali veikti savarankiškai. Turano Trojos arklys pašalina simbolinę informaciją, todėl tyrėjams sunku atlikti atvirkštinę inžineriją ir atlikti išsamius tyrimus.
Saugumas Niu rekomenduoja svarbių skyrių ir įmonių Linux sistemos administratoriams kuo greičiau patikrinti, ar jie nėra užkrėsti Trojos arklys Linux versija, o metodas yra labai paprastas: patikrinkite, ar siunčiamame sraute yra ši nuoroda arba adresas: news-bbc.podzone[.] org arba 80.248.65.183, kuris yra komandų valdymo serverio adresas, užkoduotas aptiktos Trojos arklys Linux versijos. Sistemos administratoriai taip pat gali naudoti YARA, atvirojo kodo kenkėjiškų programų tyrimo įrankį, kad sugeneruotų sertifikatus ir nustatytų, ar juose yra "TREX_PID=%u" ir "Nuotolinis VS tuščias!" Dvi stygos.
|
Paskelbta 2014-12-20 00:17:04
|
|
|
|
Paskelbta 2014-12-20 20:04:26
Jaučiu, kad žmonės dabar yra nuostabūs