Recent, experți în securitate de la Kaspersky și Symantec au descoperit un troian spion Linux extrem de discret, specializat în furtul de date sensibile de la departamente guvernamentale și industrii importante din întreaga lume.
Cea mai recentă descoperire a troianului spion Linux este o altă piesă din puzzle-ul atacului persistent avansat al Kaspersky și Symantec, Turla, descoperit în august anul acesta. Principalele ținte ale atacurilor "Tulan" sunt departamentele guvernamentale, ambasadele și consulatele din 45 de țări din întreaga lume, instituțiile militare, educaționale și științifice și companiile farmaceutice, fiind cea mai importantă activitate avansată de atac persistent APT în prezent, la același nivel cu recentul Regin, descoperit recent, și foarte asemănătoare cu malware-ul la nivel de stat descoperit în ultimii ani, precum Flame, Stuxnet și Duqu, fiind extrem de sofisticată din punct de vedere tehnic.
Potrivit Kaspersky Lab, comunitatea de securitate găsise anterior doar troianul spion "Tulan" bazat pe sistemele Windows. Și pentru că "Tulan" folosește tehnologia rootkit-urilor, este extrem de dificil de detectat.
Expunerea troianului spion Linux arată că suprafața de atac a "Tulan" acoperă și sistemul Linux, similar cu versiunea Windows a troianului, versiunea Linux a troianului "Tulan" este extrem de discretă și nu poate fi detectată prin metode convenționale precum comanda Netstat, iar troianul intră în sistem și rămâne tăcut, uneori chiar pândind în calculatorul țintei ani de zile, până când atacatorul trimite un pachet IP care conține o anumită secvență de numere.
După activare, versiunea Linux a troianului poate executa comenzi arbitrare, chiar și fără a ridica privilegiile sistemului, iar orice utilizator privilegiat obișnuit îl poate porni pentru monitorizare.
Comunitatea de securitate are în prezent cunoștințe foarte limitate despre versiunea Linux a troianului și potențialele sale capacități, iar ceea ce se știe este că troianul este dezvoltat în limbaje C și C++, conține baza de cod necesară și poate funcționa independent. Codul Troienilor Turan elimină informații simbolice, ceea ce face dificilă pentru cercetători să facă inginerie inversă și să desfășoare cercetări aprofundate.
Security Niu recomandă ca administratorii de sistem Linux ai departamentelor și întreprinderilor importante să verifice cât mai curând dacă sunt infectați cu versiunea Linux a troianului, iar metoda este foarte simplă: verifică dacă traficul de ieșire conține următorul link sau adresă: news-bbc.podzone[.] org sau 80.248.65.183, care este adresa serverului de control de comandă codificată fix de versiunea Linux a troianului descoperită. Administratorii de sistem pot folosi, de asemenea, YARA, un instrument open-source de cercetare a malware-ului, pentru a genera certificate și a detecta dacă acestea conțin "TREX_PID=%u" și "Remote VS is vidty!" Două corzi.
|
Postat pe 20.12.2014 00:17:04
|
|
|
|
Postat pe 20.12.2014 20:04:26
Simt că oamenii sunt minunați acum