Sikkerhedseksperter nylig opdaget et stykke malware målretning Linux, som synes at være en del af den velkendte Turla malware designet til Windows og målretning militæret, ambassader, og mere.
Tower til Windows
Kaspersky og Symantec opdagede Turla tidligere i år og indtil nu, alle dets komponenter blev designet specielt til Windows. Den sofistikerede spyware blev mistænkt for at være skabt af den russiske regering. Det smittede “Flere hundrede computere i mere end 45 lande, herunder offentlige institutioner, ambassader, militær, uddannelse, forsknings- og farmaceutiske virksomheder,"Ifølge Kaspersky Lab.
Ikke underligt, hvorfor sikkerhedseksperter kaldte denne malware 'Epic Turla'.
Ifølge en artikel i Reuters fra marts 7, 2014, sikkerhedseksperter mente, at Turla også var forbundet med den skadelige software, der bruges på det amerikanske. militær i 2008, som forårsagede en massiv forstyrrelse. Og, blev det også siges at være relateret til røde oktober - en anden global målretning spionage militære, diplomatiske og nukleare kanaler online.
Tower til Linux
Linux Turla har tilsyneladende blevet skabt ud over Windows Turla – For at have en bredere adgang ofre. Eksperter mener, at denne komponent er ikke ny, og det har været rundt i nogle år nu, men de har ikke haft konkret bevis for, at der indtil nu.
Den malware siges at handle som »en stealth bagdøren på cd00r kilder,’ per securelist.com.
‘cd00r.c‘ er en proof of concept kode til at teste idéen om en helt usynlig bagdør server,’ ifølge phenoelit.org, skaberne af cd00r. »Den tilgang cd00r.c er at give fjernadgang til systemet uden at vise en åben port hele tiden. Det gøres ved hjælp af en sniffer på den angivne grænseflade til at fange alle slags pakker. Den sniffer kører ikke i promiskuøs tilstand for at forhindre en kerne besked i syslog og påvisning af programmer som AnitSniff.’
Det er, hvad Linux Turla gjorde – vedtog det cd00r tilgang for at være i stand til at forblive i en stealth-mode, mens den kører kommandoer på afstand. Det er ganske fleksibel og gratis at køre på ofrenes computere takket være det faktum, at det ikke behøver root-adgang. Og, stedet for at bruge SYN pakker, det gik til TCP / UDP-pakker til at køre sine usynlige operationer. Det er derfor, at det ikke kan påvises ved netstat (netstatistik) - Et almindeligt anvendt kommando-linje værktøj.
Kort, eksperter har mistanke om eksistensen af Turla komponenter rettet Linux i et stykke tid nu, men havde ingen hårde facts indtil nu. Vi kan så ikke lade være med at spekulere på, om der er andre Turla variationer derude, som eksperterne har ikke engang tænkt på endnu.