Nedavno so varnostni strokovnjaki iz Kaspersky in Symanteca odkrili izjemno prikritega vohuna za Linux, ki se specializira za krajo občutljivih podatkov iz vladnih oddelkov in pomembnih industrij po svetu.
Najnovejše odkritje vohuna za Linux trojance je še en del sestavljanke naprednega vztrajnega napada podjetja Kaspersky in Symantec, Turla, ki je bil odkrit avgusta letos. Glavni cilji napadov "Tulan" so vladni oddelki, veleposlaništva in konzulati v 45 državah po svetu, vojaške, izobraževalne in znanstveno-raziskovalne ustanove ter farmacevtska podjetja, in je trenutno največja napredna aktivnost APT z vztrajnimi napadi, ki je na isti ravni kot nedavno odkriti Regin, in je zelo podobna zlonamerni programski opremi na državni ravni, odkriti v zadnjih letih, kot so Flame, Stuxnet in Duqu, ter je tehnično zelo napredna.
Po podatkih Kaspersky Laba je varnostna skupnost prej našla le vohunski trojan "Tulan", ki temelji na Windows sistemih. In ker "Tulan" uporablja rootkit tehnologijo, jo je izjemno težko zaznati.
Razkritje Linux vohunskega trojanca kaže, da napadalna površina "Tulan" pokriva tudi Linux sistem, podobno kot Windows različica trojana, Linux različica trojanca "Tulan" je zelo prikrita in je ni mogoče zaznati s konvencionalnimi metodami, kot je ukaz Netstat, trojan pa vstopi v sistem in ostane tiho, včasih celo preži v ciljnem računalniku leta, dokler napadalec ne pošlje IP paketa s specifičnim zaporedjem številk.
Po aktivaciji lahko Linux različica trojanca izvaja poljubne ukaze, tudi brez dvigovanja sistemskih pravic, in vsak običajen privilegiran uporabnik jo lahko zažene za nadzor.
Varnostna skupnost trenutno zelo omejeno pozna Linux različico trojanca in njegove potencialne zmogljivosti, znano pa je, da je trojan razvit v jezikih C in C++, vsebuje potrebno kodo in lahko deluje neodvisno. Koda Turanovega trojana odstrani simbolne informacije, kar raziskovalcem otežuje povratno inženirstvo in poglobljeno raziskovanje.
Security Niu priporoča, da Linux sistemski administratorji pomembnih oddelkov in podjetij čim prej preverijo, ali so okuženi z Linux različico trojanca, metoda pa je zelo preprosta: preverite, ali izhodni promet vsebuje naslednjo povezavo ali naslov: news-bbc.podzone[.] org ali 80.248.65.183, kar je naslov strežnika za nadzor ukazov, ki ga je odkrila Linux različica trojanca. Sistemski administratorji lahko uporabijo tudi YARA, odprtokodno orodje za raziskovanje zlonamerne programske opreme, za generiranje certifikatov in zaznavanje, ali vsebujejo "TREX_PID=%u" in "Oddaljeni VS je prazen!" Dve struni.
|
Objavljeno na 20. 12. 2014 00:17:04
|
|
|
|
Objavljeno na 20. 12. 2014 20:04:26
Zdi se mi, da so ljudje zdaj neverjetni