Nedávno bezpečnostní experti z Kaspersky a Symantecu objavili extrémne nenápadného špionážneho Linuxového trójskeho koňa, ktorý sa špecializuje na krádež citlivých údajov z vládnych oddelení a dôležitých odvetví po celom svete.
Najnovší objav Linuxového špionážneho trójskeho koňa je ďalšou časťou skladačky pokročilého trvalého útoku Turla od Kaspersky a Symantec, ktorý bol objavený v auguste tohto roku. Hlavnými cieľmi útokov "Tulan" sú vládne oddelenia, veľvyslanectvá a konzuláty v 45 krajinách sveta, vojenské, vzdelávacie a vedecké výskumné inštitúcie a farmaceutické spoločnosti, pričom ide o najvýznamnejšiu pokročilú trvalú útočnú aktivitu APT dnes, ktorá je na rovnakej úrovni ako nedávno objavený Regin, a je veľmi podobná malvérovi na štátnej úrovni objaveným v posledných rokoch, ako sú Flame, Stuxnet a Duqu, a je vysoko technicky vyspelá.
Podľa Kaspersky Lab bezpečnostná komunita predtým našla len špionážneho trójskeho koňa "Tulan" založeného na systémoch Windows. A keďže "Tulan" používa rootkit technológiu, je mimoriadne ťažké ho odhaliť.
Odhalenie Linuxového špionážneho trójskeho koňa ukazuje, že útočná plocha "Tulanu" pokrýva aj Linuxový systém, podobne ako Windows verzia trójskeho koňa, linuxová verzia trójskeho koňa "Tulan" je vysoko nenápadná a nedá sa odhaliť bežnými metódami, ako je príkaz Netstat, a trójsky kôň vstúpi do systému a zostáva ticho, niekedy dokonca číha v počítači cieľa celé roky, až kým útočník nepošle IP paket obsahujúci konkrétnu sekvenciu čísel.
Po aktivácii môže linuxová verzia trójskeho koňa vykonávať ľubovoľné príkazy, aj bez zvýšenia systémových oprávnení, a akýkoľvek bežný privilegovaný používateľ ju môže spustiť na monitorovanie.
Bezpečnostná komunita má v súčasnosti veľmi obmedzené znalosti o linuxovej verzii trójskeho koňa a jeho potenciálnych možnostiach, pričom je známe, že trójsky kôň je vyvíjaný v jazykoch C a C++, obsahuje potrebnú kódovú základňu a je schopný fungovať nezávisle. Kód Turanského trójana odstraňuje symbolické informácie, čo sťažuje výskumníkom spätné inžinierstvo a hĺbkový výskum.
Security Niu odporúča, aby administrátori Linuxových systémov dôležitých oddelení a podnikov čo najskôr skontrolovali, či nie sú infikovaní linuxovou verziou trójskeho kona, a postup je veľmi jednoduchý: skontrolujte, či odchádzajúca prevádzka obsahuje nasledujúci odkaz alebo adresu: news-bbc.podzone[.] org alebo 80.248.65.183, čo je adresa servera riadenia príkazov natvrdo zakódovaná linuxovou verziou trójana, ktorá bola objavená. Správcovia systému môžu tiež použiť YARA, open-source nástroj na výskum malvéru, na generovanie certifikátov a detekciu, či obsahujú "TREX_PID=%u" a "Remote VS is empty!" Dve struny.
|
Zverejnené 20. 12. 2014 0:17:04
|
|
|
|
Zverejnené 20. 12. 2014 20:04:26
Mám pocit, že ľudia sú teraz úžasní