Sikkerhetseksperter nylig oppdaget et stykke malware målretting Linux, som synes å være en del av den velkjente Turla malware designet for Windows og oppgi den militære, ambassader, og mer.
Tårn for Windows
Kaspersky og Symantec oppdaget Turla tidligere i år og frem til nå, alle komponentene ble utviklet spesielt for Windows. Den sofistikerte spyware ble mistenkt for å være skapt av den russiske regjeringen. Det smittet “flere hundre datamaskiner i mer enn 45 land, inkludert statlige institusjoner, ambassader, militær, utdanning, forskning og farmasøytiske selskaper,"Ifølge Kaspersky Lab.
Ikke rart at sikkerhetseksperter kalte denne malware "Epic Turla '.
Ifølge en artikkel i Reuters fra mars 7, 2014, sikkerhetsforskere mente at Turla ble også knyttet til ondsinnet programvare som brukes på den amerikanske. militære i 2008, som forårsaket en massiv forstyrrelse. Og, Det ble også sagt å være relatert til Red October - en annen global spionasje operasjon rettet mot militære, diplomatiske og kjernefysiske kanaler på nettet.
Tårn for Linux
Linux Turla har tilsynelatende blitt opprettet i tillegg til Windows Turla – for å få et bredere tilgang av ofre. Eksperter mener at denne komponenten er ikke ny, og det har eksistert i noen år nå, men de har ikke hatt konkrete bevis på det før nå.
Malware sies å opptre som "et skjult bakdør på cd00r kilder,’ den per securelist.com.
‘cd00r.c‘ er en konseptbeviskode for å teste ideen om en helt usynlig bakdør server,’ ifølge phenoelit.org, skaperne av cd00r. 'Løsningen ifølge cd00r.c er å tilveiebringe fjerntilgang til systemet uten å vise en åpen port hele tiden. Det gjøres ved å bruke en sniffer på den angitte grensesnittet for å fange opp alle typer pakker. Sniffer ikke kjører i promiskuøse modus for å hindre en kernel melding i syslog og deteksjon av programmer som AnitSniff.’
Det er hva Linux Turla gjorde – det vedtatt cd00r tilnærming for å kunne forbli i en stealth mode mens du kjører kommandoene eksternt. Det er ganske fleksibel og gratis å kjøre på ofrenes datamaskiner takket være det faktum at den ikke trenger root-tilgang. Og, istedenfor å bruke SYN pakker, det gikk for TCP / UDP-pakker til å kjøre sin usynlige operasjoner. Det er derfor det ikke kan oppdages av netstat (nettverksstatistikk) - Et vanlig kommandolinjeverktøy.
Kort sagt, eksperter har mistanke om eksistensen av Turla komponenter rettet mot Linux for en stund nå, men hadde ingen harde fakta til nå. Vi kan da ikke hjelpe, men lurer på om det er andre Turla varianter der ute som eksperter har ikke engang tenkt på ennå.