Turla-Malware comme pour Linux Enfin détecté

Turla-Malware comme pour Linux Enfin détecté

Les experts en sécurité a récemment détecté un morceau de malware ciblage Linux, qui semble faire partie du malware Turla bien connu conçu pour Windows et en ciblant les militaires, ambassades, et de plus.

Tour pour Windows

Kaspersky et Symantec ont découvert Turla tôt cette année et jusqu'à présent, tous ses composants ont été conçus spécifiquement pour Windows. Le spyware sophistiquée a été soupçonné d'être créé par le gouvernement russe. Il a infecté “plusieurs centaines d'ordinateurs dans plus de 45 pays, y compris les institutions gouvernementales, ambassades, militaire, éducation, sociétés de recherche et pharmaceutiques,», Selon Kaspersky Lab.

Pas étonnant que les experts en sécurité ont appelé ce malware 'Epic Turla'.

Selon un article paru dans Reuters de Mars 7, 2014, les chercheurs en sécurité estiment que Turla était également lié au logiciel malveillant utilisé sur les États-Unis. militaire 2008, qui a causé une perturbation massif. Et, il a également dit être liée à Octobre Rouge - une autre opération militaire d'espionnage ciblant mondiale, canaux diplomatiques et nucléaires en ligne.

Tour pour Linux

Le Linux Turla a apparemment été créé, en plus de la Turla de Windows – afin d'avoir un accès plus large des victimes. Les experts estiment que cette composante ne est pas nouveau, et il a été autour depuis quelques années maintenant, mais ils ne ont pas eu la preuve spécifique de ce que jusqu'à présent.

Le malware est dit d'agir comme «une porte dérobée furtif sur les sources de cd00r,’ l'par securelist.com.
cd00r.c‘ est une preuve de concept de code pour tester l'idée d'un serveur de porte dérobée complètement invisible,’ selon phenoelit.org, les créateurs de cd00r. «L'approche de cd00r.c est de fournir un accès à distance au système sans montrer un port ouvert tout le temps. Cela se fait à l'aide d'un renifleur sur l'interface spécifiée pour capturer tous les types de paquets. Le renifleur ne fonctionne pas en mode espion pour éviter un message du noyau de syslog et la détection par des programmes comme AnitSniff.’

Ce est ce que fait Linux Turla – elle a adopté l'approche de cd00r afin d'être en mesure de rester dans un mode furtif lors de l'exécution des commandes à distance. Il est très flexible et gratuit pour fonctionner sur les ordinateurs des victimes de grâce au fait qu'il n'a pas besoin de l'accès root. Et, au lieu d'utiliser des paquets SYN, il est allé pour les paquets TCP / UDP pour exécuter ses opérations invisibles. Ce est pourquoi il ne peut pas être détecté par netstat (statistiques du réseau) - Un outil de ligne de commande couramment utilisé.

En bref, les experts ont soupçonné l'existence de composants Turla ciblant Linux pour un certain temps maintenant, mais ne avait pas faits durs jusqu'à présent. Nous ne pouvons donc pas empêcher de se demander se il existe d'autres variantes Turla là-bas que les experts ne ont même pas encore pensé.