Säkerhetsexperter nyligen upptäckt en bit av malware inriktning Linux, som verkar vara en del av den välkända Turla malware avsedd för Windows och rikta militären, ambassader, och mer.
Turla för Windows
Kaspersky och Symantec upptäckt Turla tidigare i år och fram till nu, alla dess komponenter har utformats speciellt för Windows. Den sofistikerade spionprogram misstänktes skapas genom den ryska regeringen. det infekterade “Flera hundra datorer i mer än 45 länder, inklusive statliga institutioner, ambassader, militär, utbildning, forsknings- och läkemedelsföretag,”Enligt Kaspersky Lab.
Inte undra varför säkerhetsexperter kallade denna malware ’Epic Turla’.
Enligt en artikel i Reuters från mars 7, 2014, säkerhet forskare trodde att Turla också var relaterade till skadlig programvara som används på US. militären i 2008, vilket orsakade en massiv störning. Och, Det sades också vara relaterade till Röd Oktober - en annan global spioneri drift riktar militär, diplomatiska och nukleära kanaler på nätet.
Turla för Linux
Linux Turla har uppenbarligen skapats utöver Windows Turla – för att få en bredare tillgång offer. Experter tror att denna komponent är inte ny, och det har funnits i några år nu, men de har inte haft specifika bevis på det hittills.
Det skadliga programmet sägs att agera som ’en smygande bakdörr på cd00r källor,’ per securelist.com.
‘cd00r.c‘ är en proof of concept-kod för att testa idén om en helt osynlig bakdörr server,’ enligt phenoelit.org, skaparna av cd00r. ’Tillvägagångssättet för cd00r.c är att ge fjärråtkomst till systemet utan att visa en öppen port hela tiden. Det görs genom att använda en sniffer på det angivna gränssnittet för att fånga alla typer av paket. Den sniffer inte körs i promiskuöst läge för att förhindra en kärna meddelande i syslog och upptäckt av program som AnitSniff.’
Det är vad Linux Turla gjorde – godkände cd00r strategi för att kunna stanna kvar i ett dolt läge under körning kommandon distans. Det är ganska flexibel och fri att köra på offrens datorer tack vare det faktum att den inte behöver root-access. Och, istället för att använda SYN paket, det gick för TCP / UDP-paket för att köra sin osynliga operationer. Det är därför det inte kan upptäckas genom netstat (nätverksstatistik) - en vanligt använd kommandoradsverktyg.
Kortfattat, experter har misstänkt att det finns Turla komponenter riktade Linux för ett tag nu, men hade inga hårda fakta hittills. Vi sedan inte kan låta bli att undra om det finns andra Turla varianter där ute som experterna inte ens har tänkt på ännu.