Nesen Kaspersky un Symantec drošības eksperti atklāja ārkārtīgi slepenu Linux spiegu Trojas zirgu, kas specializējas sensitīvu datu zādzībā no valdības departamentiem un svarīgām nozarēm visā pasaulē.
Jaunākais Linux spiegu Trojas atklājums ir vēl viens Kaspersky un Symantec uzlabotā pastāvīgā uzbrukuma Turla puzles gabals, kas tika atklāts šī gada augustā. "Tulan" uzbrukumu galvenie mērķi ir valdības departamenti, vēstniecības un konsulāti 45 valstīs visā pasaulē, militārās, izglītības un zinātniskās pētniecības institūcijas un farmācijas uzņēmumi, un tas ir augstākais APT progresīvais pastāvīgais uzbrukums šodien, kas ir tādā pašā līmenī kā nesen atklātais Regin un ir ļoti līdzīgs pēdējos gados atklātajai valsts līmeņa ļaunprātīgai programmatūrai, piemēram, Flame, Stuxnet un Duqu, un ir ļoti tehniski sarežģīts.
Saskaņā ar Kaspersky Lab datiem, drošības kopiena iepriekš bija atradusi tikai "Tulan" spiegu Trojas zirgu, kas balstīts uz Windows sistēmām. Un tā kā "Tulan" izmanto rootkit tehnoloģiju, to ir ļoti grūti noteikt.
Linux spiegu Trojas zirga iedarbība parāda, ka "Tulan" uzbrukuma virsma aptver arī Linux sistēmu, līdzīgi kā Trojas zirga Windows versija, "Tulan" Trojas zirga Linux versija ir ļoti slepena, un to nevar noteikt ar parastajām metodēm, piemēram, Netstat komandu, un Trojas zirgs iekļūst sistēmā un paliek kluss, dažreiz pat slēpjas mērķa datorā gadiem ilgi, līdz uzbrucējs nosūta IP paketi, kas satur noteiktu numuru secību.
Pēc aktivizēšanas Trojas zirga Linux versija var izpildīt patvaļīgas komandas, pat nepaaugstinot sistēmas privilēģijas, un jebkurš parasts priviliģēts lietotājs var to sākt uzraudzībai.
Drošības kopienai pašlaik ir ļoti ierobežotas zināšanas par Trojas zirga Linux versiju un tās potenciālajām iespējām, un ir zināms, ka Trojas zirgs ir izstrādāts C un C++ valodās, satur nepieciešamo kodu bāzi un spēj darboties neatkarīgi. Turan Trojas kods noņem simbolisku informāciju, apgrūtinot pētniekiem reverso inženieriju un padziļinātu izpēti.
Drošība Niu iesaka svarīgu departamentu un uzņēmumu Linux sistēmas administratoriem pēc iespējas ātrāk pārbaudīt, vai tie ir inficēti ar Trojas zirga Linux versiju, un metode ir ļoti vienkārša: pārbaudiet, vai izejošajā datplūsmā ir šāda saite vai adrese: news-bbc.podzone[.] org vai 80.248.65.183, kas ir komandvadības servera adrese, kas ir iekodēta atklātajā Trojas zirga Linux versijā. Sistēmas administratori var arī izmantot YARA, atvērtā koda ļaunprātīgas programmatūras izpētes rīku, lai ģenerētu sertifikātus un noteiktu, vai tie satur "TREX_PID=%u" un "Remote VS ir tukšs!" Divas stīgas.
|
Publicēts 20.12.2014 00:17:04
|
|
|
|
Publicēts 20.12.2014 20:04:26
Es jūtu, ka cilvēki tagad ir pārsteidzoši