Недавно эксперты по безопасности из Kaspersky и Symantec обнаружили чрезвычайно скрытный шпионский троян Linux, который специализируется на краже конфиденциальных данных из государственных ведомств и важных отраслей по всему миру.
Последнее открытие Linux-шпионского трояна — ещё одна часть головоломки продвинутой постоянной атаки Kaspersky и Symantec — Turla, обнаруженной в августе этого года. Основными целями атак «Тулан» являются государственные ведомства, посольства и консульства в 45 странах мира, военные, образовательные и научно-исследовательские учреждения, а также фармацевтические компании, и сегодня это ведущая продвинутая постоянная активность APT, которая соответствует недавно обнаруженному Regin, очень похожа на государственное вредоносное ПО, обнаруженное в последние годы, такое как Flame, Stuxnet и Duqu, и отличается высокой технической сложностью.
По данным Kaspersky Lab, сообщество безопасности ранее находило только шпионский троян «Тулан» на базе Windows. И поскольку «Tulan» использует технологию rootkit, его крайне сложно обнаружить.
Разоблачение шпионского трояна Linux-шпиона показывает, что поверхность атаки «Tulan» также покрывает систему Linux, аналогично версии Windows; версия Linux-версии трояна «Tulan» очень скрытна и не может быть обнаружена обычными методами, такими как команда Netstat, и троян входит в систему и молчит, иногда даже скрываясь в компьютере цели годами, пока злоумышленник не отправит IP-пакет с определённой последовательностью чисел.
После активации версия трояна для Linux может выполнять произвольные команды даже без повышения системных прав, и любой обычный привилегированный пользователь может запустить её для мониторинга.
В настоящее время сообщество специалистов по безопасности имеет очень ограниченные знания о версии трояна для Linux и его потенциальных возможностях, и известно, что троян разработан на языках C и C++, содержит необходимую кодовую базу и способен работать независимо. Код Туранского трояна удаляет символическую информацию, что затрудняет исследователям реверс-инжиниринг и проведение глубоких исследований.
Security Niu рекомендует системным администраторам Linux в важных отделах и предприятиях как можно скорее проверить, заражены ли они версией трояна Linux, и метод очень прост: проверить, содержит ли исходящий трафик следующую ссылку или адрес: news-bbc.podzone[.] org или 80.248.65.183 — адрес сервера командного управления, жёстко закодированный Linux-версией трояна, который был обнаружен. Системные администраторы также могут использовать YARA, открытый инструмент для исследования вредоносного ПО, для генерации сертификатов и обнаружения, содержат ли в них «TREX_PID=%u» и «Remote VS is empty!» Две струны.
|
Опубликовано 20.12.2014 0:17:04
|
|
|
|
Опубликовано 20.12.2014 20:04:26
Мне кажется, сейчас люди потрясающие