Otkriven maliciozni Linux modul Turla (Snake, Uroburos)

Opisi virusa, 10.12.2014, 16:02 PM

Otkriven maliciozni Linux modul Turla (Snake, Uroburos)

Istraživači Kaspersky Laba otkrili su novi modul Turla, pretnje poznate i pod nazivima Snake i Uroburos. Zagonetka zvana Turla je jedna od najkompleksnijih pretnji u svetu.

Svaki do sada otkriveni uzorak malvera Turla je bio namenjen Micorosoftovim 32-bitnim i 64-bitnim Windows operativnim sistemima. Novi uzorak malvera je neobičan zbog toga što je prvi koji cilja Linux.

Veruje se da su APT napadači (advanced persistent threat) koji stoje iza Turla napada sa ruskog govornog područja. Oni koriste 0-day exploite, društveni inženjering i watering hole tehnike napada da bi inficirali računare žrtava. Njihovi ciljevi su najčešće institucije vlasti, ambasade, vojske, istraživačke i obrazovne institucije i farmaceutske kompanije. Rootkit/backdoor komponente malvera omogućavaju napadačima da preuzmu kontrolu nad zaraženim računarima i na njima izvršavaju komande, kradu fajlove sa računara koje zatim šalju serverima za komandu i kontrolu koji su pod kontrolom napadača.

Koliko je poznato, napadači su godinama radili na ovaj način, uvek ciljajući Windows računare. Sada su u ruke istraživača Kaspersky Laba dospela dva uzorka koja su dizajnirana za Linux.

Linux Turla modul je izvršni fajl pisan u C/C++, u kojem su statički ulinkovane brojne biblioteke, što u velikoj meri povećava veličinu izvršnog fajla. Iz kompajliranog izvršnog fajla su izbačeni nazivi funkcija i promenljive, verovatno sa namerom da se oteža analiza ovog malvera. Njegova funkcionalnost uključuje skrivene mrežne komunikacije, proizvoljno daljinsko izvršavanje komande i daljinsko upravljanje, kažu iz Kaspersky Laba.

Malver je backdoor baziran na javno dostupnom izvornom kodu.

“Ovaj Turla na cd00r bazirani malver održava nevidljivost bez potrebe za root privilegijama kada pokreće proizvoljne daljinske komande”, kažu istraživači. “On ne može biti otkriven preko netstata, obično korišćenog administrativnog alata. On koristi tehnike koje ne zahtevaju root pristup, što mu omogućava da slobodnije radi na žrtvinom računaru. Čak i ako ga pokrene običan korisnik sa ograničenim privilegijama, on može nastaviti da presreće dolazne pakete i izvršava dolazne komande na sistemu.”

Dva uzorka koja su otkrili u Kaspersky Labu su različite varijacije istog malvera, ali je verovatno da ih ima još, kažu istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje