Security experts onlangs een stukje malware targeting Linux gedetecteerd, die lijkt één van de bekende Turla malware voor Windows en richten het leger zijn, ambassades, en.
Toren voor Windows
Kaspersky en Symantec ontdekt Turla eerder dit jaar en tot nu toe, alle componenten werden specifiek voor Windows. De geavanceerde spyware werd verdacht worden gecreëerd door de Russische regering. Het geïnfecteerde “honderden computers in meer dan 45 landen, met inbegrip van overheidsinstellingen, ambassades, militair, onderwijs, onderzoek en farmaceutische bedrijven,"Volgens Kaspersky Lab.
Geen wonder waarom security experts noemde deze malware 'Epic Turla'.
Volgens een artikel in Reuters vanaf maart 7, 2014, security onderzoekers geloofden dat Turla ook was gerelateerd aan de kwaadaardige software die wordt gebruikt op de Amerikaanse. leger in 2008, die een enorme verstoring. En, Er werd ook gezegd te worden gerelateerd aan Red October - een andere wereldwijde spionage operatie gericht militaire, diplomatieke en nucleaire kanalen online.
Toren voor Linux
De Linux Turla is blijkbaar gemaakt in aanvulling op de Windows Turla – om een ruimere toegang van slachtoffers. Experts geloven dat dit onderdeel is niet nieuw, en het is rond nu al enkele jaren, maar ze hebben niet specifiek bewijs dat tot nu toe.
De malware wordt gezegd om op te treden als 'een stealth achterdeur op de cd00r bronnen,’ het per securelist.com.
‘cd00r.c‘ is een proof of concept code om het idee van een volledig onzichtbaar backdoor server te testen,’ volgens phenoelit.org, de makers van cd00r. 'De aanpak van cd00r.c is om op afstand toegang tot het systeem te voorzien zonder dat een open poort de hele tijd. Dat gebeurt door een sniffer op de opgegeven interface allerlei pakketten vastleggen. De sniffer is niet actief in promiscue modus om een kernel bericht syslog en detectie te voorkomen door programma's als AnitSniff.’
Dat is wat Linux Turla deed – het geven van de cd00r aanpak om te kunnen blijven in een stealth-modus tijdens het hardlopen commando op afstand. Het is heel flexibel en vrij om te draaien op computers dankzij slachtoffers aan het feit dat het geen root-toegang nodig heeft. En, in plaats van het gebruik van SYN pakketten, het ging voor TCP / UDP-pakketten naar zijn onzichtbare operaties die. Daarom kan niet worden gedetecteerd door netstat (netwerk statistieken) - Een veelgebruikte command-line tool.
In het kort, experts hebben het bestaan van Turla componenten targeting Linux nu al een tijdje verdacht, maar had geen harde feiten tot nu toe. We kunnen dan niet helpen, maar vraag me af of er nog andere Turla variaties die er zijn die experts nog niet eens aan gedacht nog.