Nylig oppdaget sikkerhetseksperter fra Kaspersky og Symantec en ekstremt snikende Linux-spiontrojaner som spesialiserer seg på å stjele sensitiv informasjon fra offentlige etater og viktige bransjer over hele verden.
Den siste oppdagelsen av en Linux-spiontrojaner er en ny brikke i puslespillet bak Kaspersky og Symantecs avanserte vedvarende angrep, Turla, som ble oppdaget i august i år. Hovedmålene for «Tulan»-angrep er regjeringsdepartementer, ambassader og konsulater i 45 land verden over, militære, utdannings- og forskningsinstitusjoner, samt farmasøytiske selskaper, og dette er den ledende APT-aktiviteten for avanserte vedvarende angrep i dag, som er på samme nivå som den nylig oppdagede Regin, og er svært lik statlig skadelig programvare som er oppdaget de siste årene, som Flame, Stuxnet og Duqu, og er svært teknisk sofistikert.
Ifølge Kaspersky Lab hadde sikkerhetsmiljøet tidligere kun funnet «Tulan»-spiontrojaneren basert på Windows-systemer. Og fordi "Tulan" bruker rootkit-teknologi, er det ekstremt vanskelig å oppdage.
Avsløringen av Linux-spiontrojaneren viser at angrepsflaten til "Tulan" også dekker Linux-systemet, likt Windows-versjonen av trojaneren, Linux-versjonen av "Tulan"-trojaneren er svært stealthy og kan ikke oppdages med konvensjonelle metoder som Netstat-kommandoen, og trojaneren går inn i systemet og forblir stille, noen ganger til og med lurer i målets datamaskin i flere år, inntil angriperen sender en IP-pakke med en bestemt tallsekvens.
Etter aktivering kan Linux-versjonen av trojaneren utføre vilkårlige kommandoer, selv uten å øke systemprivilegiene, og enhver vanlig privilegert bruker kan starte den for overvåking.
Sikkerhetsmiljøet har for øyeblikket svært begrenset kunnskap om Linux-versjonen av trojaneren og dens potensielle muligheter, og det som er kjent er at trojaneren er utviklet i C- og C++-språk, inneholder nødvendig kodebase og kan operere uavhengig. Turan Trojans kode fjerner symbolsk informasjon, noe som gjør det vanskelig for forskere å reversere og gjennomføre grundig forskning.
Security Niu anbefaler at Linux-systemadministratorer i viktige avdelinger og virksomheter sjekker om de er infisert med Linux-versjonen av trojaneren så snart som mulig, og metoden er veldig enkel: sjekk om utgående trafikk inneholder følgende lenke eller adresse: news-bbc.podzone[.] org eller 80.248.65.183, som er kommandokontrollserveradressen hardkodet av Linux-versjonen av trojaneren som er oppdaget. Systemadministratorer kan også bruke YARA, et åpen kildekode-verktøy for skadevareforskning, for å generere sertifikater og oppdage om de inneholder "TREX_PID=%u" og "Remote VS is empty!" To strenger.
|
Publisert på 20.12.2014 00:17:04
|
|
|
|
Publisert på 20.12.2014 20:04:26
Jeg føler at folk er fantastiske nå