Нещодавно експерти з безпеки з Kaspersky та Symantec виявили надзвичайно прихований шпигунський троян Linux, який спеціалізується на крадіжці конфіденційних даних з урядових відомств і важливих галузей світу.
Останнє відкриття Linux-шпигунського трояна — це ще одна частина загадки передової стійкої атаки Kaspersky та Symantec — Turla, яка була виявлена в серпні цього року. Основними цілями атак «Тулан» є урядові відомства, посольства та консульства у 45 країнах світу, військові, освітні та науково-дослідні установи, а також фармацевтичні компанії, і це провідна активність APT за кількістю передових постійних атак сьогодні, яка на рівні нещодавно виявленого Regin, дуже схожа на державне шкідливе ПЗ, виявлене останніми роками, таке як Flame, Stuxnet і Duqu, і є надзвичайно технічно складним.
За даними Kaspersky Lab, спільнота безпеки раніше знаходила лише шпигунський троян «Тулан» на базі Windows. І оскільки «Tulan» використовує технологію rootkit, його надзвичайно важко виявити.
Викриття Linux-шпигунського трояна показує, що поверхня атаки «Tulan» також покриває систему Linux, подібно до версії Windows, версія Linux-версія трояна «Tulan» є дуже прихованою і не може бути виявлена звичайними методами, такими як команда Netstat, і троян заходить у систему і залишається мовчазним, іноді навіть довго перебуваючи в комп'ютері цілі, доки зловмисник не надішле IP-пакет із певною послідовністю чисел.
Після активації версія Трояна для Linux може виконувати довільні команди навіть без підвищення системних привілеїв, і будь-який звичайний привілейований користувач може запустити її для моніторингу.
Спільнота з безпеки наразі має дуже обмежені знання про версію трояна для Linux та його потенційні можливості, і відомо, що троян розроблений мовами C та C++, містить необхідну кодову базу і може працювати незалежно. Код Туранського троянця видаляє символічну інформацію, що ускладнює дослідникам зворотне інженерне дослідження та проведення глибоких досліджень.
Security Niu рекомендує системним адміністраторам Linux у важливих відділах і підприємствах якнайшвидше перевірити, чи заражені вони версією Трояна для Linux, і метод дуже простий: перевірити, чи містить вихідний трафік таке посилання або адресу: news-bbc.podzone[.] org або 80.248.65.183 — це адреса сервера командного контролю, жорстко закодована Linux-версією трояна, яка була виявлена. Системні адміністратори також можуть використовувати YARA, відкритий інструмент для дослідження шкідливого ПЗ, для створення сертифікатів і виявлення, чи містять вони «TREX_PID=%u» та «Remote VS is empty!» Дві струни.
|
Опубліковано 20.12.2014 00:17:04
|
|
|
|
Опубліковано 20.12.2014 20:04:26
Мені здається, що люди зараз неймовірні