מומחי אבטחה לאחרונה זוהו חתיכת לינוקס מיקוד זדונית, שנראה חלק זדוניות Turla הידוע המיועדות ל- Windows ומיקוד הצבא, שגרירויות, ועוד.
Turla עבור Windows
Kaspersky ו- Symantec גילו Turla בתחילת השנה ועד עכשיו, כל מרכיביו תוכננו במיוחד עבור Windows. ריגול מתוחכם נחשד להיווצר על ידי הממשלה הרוסית. זה נגוע “מאה מחשבים כמה יותר 45 מדינות, כולל מוסדות ממשלתיים, שגרירויות, צבאי, חינוך, חברות מחקר תרופות," על פי קספרסקי.
אין פלא מדוע מומחי אבטחה שנקרא תוכנה זדונית זו "Epic Turla".
לפי כתבה שהתפרסמה ב רויטרס ממרץ 7, 2014, חוקרי אבטחה האמינו כי Turla היה קשור גם לתוכנה הזדונית בשימוש על לארה"ב. צבאי 2008, אשר גרמה להפרעה מסיבית. וזה, גם נאמר כי הוא מתייחס אוקטובר האדום - עוד מבצע הריגול העולמי צבאי מיקוד, ערוצים דיפלומטיים גרעיניים באינטרנט.
Turla עבור לינוקס
לינוקס Turla לכאורה נוצר בנוסף Windows Turla – על מנת לקבל גישה רחבה יותר של קורבנות. מומחים מאמינים כי רכיב זה אינו חדש, וזה היה במקום במשך כמה שנים, אבל לא היה להם הוכחה ספציפית של שעד עכשיו.
התוכנה הזדונית הוא אמר להתנהג כמו "דלת אחורית התגנבות על מקורות cd00r,’ לפי securelist.com.
‘cd00r.c‘ הוא הרעיון של שרת אחורי בלתי נראה לחלוטין הוכחת קוד רעיון כדי לבדוק,’ על פי phenoelit.org, יוצרי cd00r. "הגישה של cd00r.c היא לספק גישה מרחוק למערכת מבלי להראות יציאה פתוחה כל הזמן. זה נעשה באמצעות מריח על הממשק שצוין כדי ללכוד כל מיני מנות. המריח אינו פועל במצב מופקר כדי למנוע הודעה הקרנל ב syslog וזיהוי על ידי תוכניות כמו AnitSniff.’
זה מה לינוקס Turla עשה – היא אימצה את הגישה cd00r כדי להיות מסוגל להישאר במצב התגנבות תוך הרצת פקודות מרחוק. זה די גמיש וחופשי לרוץ על המחשבים בזכות קורבנות לעובדה שזה לא צריך גישת שורש. וזה, במקום להשתמש מנות SYN, זה המשיך מנות TCP / UDP להפעיל פעולות בלתי נראה שלה. לכן זה לא יכול להיות מזוהה על ידי netstat (סטטיסטיקה ברשת) - כלי שורת הפקודה נפוץ.
בקצרה, מומחים חושדים בקיומה של רכיבי Turla מיקוד לינוקס במשך זמן עכשיו, אבל לא הייתה לי עובדות קשות עד עכשיו. לאחר מכן, אנו לא יכולים שלא לתהות אם יש וריאציות Turla אחרות שם בחוץ אשר מומחים אפילו לא חשבו עדיין.