Linux间谍木马(Turla)潜伏多年,监控45国政府

t0135fc13cee290a15a.png

卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种,它的主要攻击目标是Linux系统,因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台上之后,研究人员才注意到它并开始调查。

史上最复杂的APT(高级持续性威胁)间谍软件

间谍软件是恶意程序的一种,能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。鉴于间谍软件的巨大危害,一旦它入侵政府或军方的计算机,其后果将不堪设想。

Turla被认为是历史上最复杂的APT(高级持续性威胁)间谍软件。

Turla由BAE的研究员首次发现,研究人员认为它由俄罗斯网络专家开发,并且很可能是莫斯科政府网络武器(cyber weapon)计划的一部分。安全研究人员还发现该恶意程序与之前的Uroburos病毒(一个用于网络间谍活动的恶意程序)存在关联。

走近企鹅Turla

企鹅Turla程序由C语言和C++语言编写,由于连接了多个库,所以它的文件体积明显增大。攻击者除去了带有符号信息的代码,这大大增加了安全专家分析该程序的难度。和其他Turla变种一样,企鹅Turla也可以隐藏网络通信,任意执行远程命令和远程控制受害者机器。

企鹅Turla大量使用了开源的静态链接库,包括glibc2.3.2、openssl v0.9.6 和libpcap。企鹅Turla并不需要使用root权限即可以执行攻击命令,同时难以被发现,不会被Linux上管理工具(命令)netstat探测到。也就是说,即使用户在启动该程序时限制了系统权限,企鹅Turla仍然可以继续截断数据包和执行恶意操作。

除此之外,研究人员还在Penquin Turla中发现了硬编码的控制与命令(C&C)服务器地址——news-bbc.podzone[.]org。

不断增强的新变种

企鹅Turla这种Turla新变种集成了当前各种资源,攻击者们对其添加了新的功能,除去了旧版本中的老代码。因此其攻击能力也有所增强。

安全研究人员们指出,当前肯定还有很多的Turla地下工具还没有被发现。这些恶意程序正被政府资助的攻击者们用于窃取世界各国政府机构、大使馆、军方、研究机构和制药公司的机密信息。

360安全播报在此建议重要部门和企业的Linux系统管理员尽快自查是否感染了Linux版图兰木马,方法很简单:

1.检查出站流量中是否包含以下链接或地址:news-bbc.podzone[.]org or 80.248.65.183,这是目前已经发现的Linux版图兰木马硬编码的命令控制服务器地址。

2.系统管理员还可以使用开源恶意软件研究工具YARA生成证书,并检测其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”两个字符串。