Niedawno eksperci ds. bezpieczeństwa z Kaspersky i Symantec odkryli niezwykle skrytego szpiegowskiego trojana Linuksa, specjalizującego się w kradzieży wrażliwych danych z departamentów rządowych i ważnych branż na całym świecie.
Najnowsze odkrycie trojana szpiegowskiego Linuksa to kolejny element układanki zaawansowanego, trwałego ataku Kaspersky i Symantec, Turla, który został odkryty w sierpniu tego roku. Głównymi celami ataków "Tulan" są departamenty rządowe, ambasady i konsulaty w 45 krajach na całym świecie, instytucje wojskowe, edukacyjne i naukowe oraz firmy farmaceutyczne, które obecnie stanowią największą aktywność APT w zaawansowanych atakach trwałych, na tym samym poziomie co niedawno odkryty Regin, bardzo podobną do złośliwego oprogramowania na poziomie stanowym odkrytych w ostatnich latach, takich jak Flame, Stuxnet i Duqu, i jest wysoce technicznie zaawansowana.
Według Kaspersky Lab, społeczność bezpieczeństwa wcześniej znalazła jedynie szpiegowskiego trojana "Tulan" opartego na systemach Windows. A ponieważ "Tulan" wykorzystuje technologię rootkit, jest to niezwykle trudne do wykrycia.
Ujawnienie szpiegowskiego trojana Linuxa pokazuje, że powierzchnia ataku "Tulan" obejmuje także system Linux, podobnie jak wersja na Windows, wersja trojana "Tulan" jest bardzo skryta i nie może być wykryta konwencjonalnymi metodami, takimi jak polecenie Netstat, a trojan wchodzi do systemu i pozostaje cichy, czasem nawet się w komputerze celu przez lata, aż atakujący wyśle pakiet IP zawierający określoną sekwencję liczb.
Po aktywacji wersja trójana na Linuksa może wykonywać dowolne polecenia, nawet bez podnoszenia uprawnień systemowych, a każdy zwykły użytkownik z uprawnieniami może ją uruchomić do monitorowania.
Społeczność bezpieczeństwa obecnie posiada bardzo ograniczoną wiedzę na temat wersji trójana na Linuksa i jego potencjalnych możliwości, a wiadomo, że trójan jest rozwijany w językach C i C++, zawiera niezbędny kod i może działać niezależnie. Kod trojana Turan usuwa informacje symboliczne, co utrudnia badaczom odwrócenie i przeprowadzenie dogłębnych badań.
Security Niu zaleca, aby administratorzy systemów Linux w ważnych działach i przedsiębiorstwach jak najszybciej sprawdzili, czy nie są zainfekowani wersją trojana Linuksa, a metoda jest bardzo prosta: sprawdź, czy ruch wychodzący zawiera następujący link lub adres: news-bbc.podzone[.] org lub 80.248.65.183, czyli adres serwera sterowania poleceń zakodowany na stałe przez wersję Linuxa trojana, która została odkryta. Administratorzy systemu mogą także korzystać z YARA, otwartoźródłowego narzędzia do badania złośliwego oprogramowania, aby generować certyfikaty i wykrywać, czy zawierają "TREX_PID=%u" oraz "Zdalny VS jest pusty!" Dwie struny.
|
Opublikowano 20.12.2014 00:17:04
|
|
|
|
Opublikowano 20.12.2014 20:04:26
Czuję, że ludzie są teraz niesamowici