Recentemente, especialistas em segurança da Kaspersky e Symantec descobriram um trojan espião Linux extremamente discreto, especializado em roubar dados sensíveis de departamentos governamentais e indústrias importantes ao redor do mundo.
A mais recente descoberta do Trojan espião Linux é mais uma peça do quebra-cabeça do ataque persistente avançado da Kaspersky e Symantec, o Turla, que foi descoberto em agosto deste ano. Os principais alvos dos ataques "Tulan" são departamentos governamentais, embaixadas e consulados em 45 países ao redor do mundo, instituições militares, educacionais e científicas e empresas farmacêuticas, sendo a principal atividade avançada de ataques persistentes do APT atualmente, que está no mesmo nível do recém-descoberto Regin, é muito semelhante ao malware estatal descoberto nos últimos anos, como Flame, Stuxnet e Duqu, além de ser altamente sofisticado tecnicamente.
Segundo a Kaspersky Lab, a comunidade de segurança anteriormente só havia encontrado o trojan espião "Tulan" baseado em sistemas Windows. E como "Tulan" usa tecnologia de rootkits, é extremamente difícil de detectar.
A exposição do Trojan espião Linux mostra que a superfície de ataque do "Tulan" também cobre o sistema Linux, semelhante à versão para Windows do Trojan; a versão Linux do Trojan "Tulan" é altamente furtiva e não pode ser detectada por métodos convencionais como o comando Netstat, e o Trojan entra no sistema e permanece silencioso, às vezes até permanecendo no computador do alvo por anos, até que o atacante envie um pacote IP contendo uma sequência específica de números.
Após a ativação, a versão Linux do Trojan pode executar comandos arbitrários, mesmo sem elevar privilégios do sistema, e qualquer usuário privilegiado comum pode iniciá-lo para monitoramento.
A comunidade de segurança atualmente tem um conhecimento muito limitado sobre a versão Linux do Trojan e suas capacidades potenciais, e o que se sabe é que o Trojan é desenvolvido nas linguagens C e C++, contém o código necessário e é capaz de operar de forma independente. O código do Trojan Turan remove informações simbólicas, dificultando para os pesquisadores a engenharia reversa e a realização de pesquisas aprofundadas.
O Security Niu recomenda que administradores de sistemas Linux de departamentos e empresas importantes verifiquem o quanto antes se estão infectados com a versão Linux do Trojan, e o método é muito simples: verificar se o tráfego de saída contém o seguinte link ou endereço: news-bbc.podzone[.] org ou 80.248.65.183, que é o endereço do servidor de controle de comando codificado diretamente pela versão Linux do Trojan que foi descoberta. Administradores de sistemas também podem usar o YARA, uma ferramenta de pesquisa de malware de código aberto, para gerar certificados e detectar se contêm "TREX_PID=%u" e "Remote VS está vazio!" Duas cordas.
|
Publicado em 20/12/2014 00:17:04
|
|
|
|
Publicado em 20/12/2014 20:04:26
Sinto que as pessoas são incríveis agora