Está Escrito:
Reconócelo en todos tus caminos,Y él enderezará tus veredas.(Proverbios 3:6)
Tomado de: BarraPunto
«Investigadores de Kapersky y Symantec han descubierto un troyano
extremadamente discreto, imposible de detectar mediante el comando
netstat y que puede ser ejecutado por un usuario sin privilegios
denominado Turla.
Al parecer se ha estado usando durante, al menos, cuatro años para
espiar a gobiernos, embajadas, instituciones militares y compañías
farmacéuticas por igual en cerca de medio centenar de países. El troyano
tiene capacidad de comunicarse con los servidores bajo el control de
los atacantes, interceptar datos locales y ejecutar funciones sin
necesidad de privilegios de administrador. No se descarta que puedan
surgir descubrimientos de malware semejantes a medida que avance la
investigación. ¿Y tú, ya has instalado un antivirus en tu Linux para
buscar troyanos ocultos?»
Referencia es: http://arstechnica.com
Los
investigadores han descubierto un troyano extremadamente sigiloso para
sistemas Linux que los atacantes han estado usando para desviar los
datos sensibles de los gobiernos y las empresas farmacéuticas de todo el
mundo.
El malware no habían sido descubiertos representa una pieza del
rompecabezas que falta vinculada a "Turla," una llamada amenaza
persistente avanzada (APT) da a conocer en agosto por Kaspersky Lab y Symantec .
Por lo menos cuatro años, la campaña estaba dirigida a las
instituciones gubernamentales, embajadas, militar, educación,
investigación y compañías farmacéuticas en más de 45 países.
Los atacantes desconocidos -que probablemente están respaldados por un
Estado-nación, de acuerdo con Symantec, eran conocidos por haber
infectado a varios cientos de equipos basados en Windows mediante la
explotación de una variedad de vulnerabilidades, al menos, dos de los
cuales eran errores de día cero. El malware fue notable por su uso de un rootkit que hacía extremadamente difícil de detectar.
Ahora los investigadores de Kaspersky Lab con sede en Moscú han detectado malware basado en Linux se utiliza en la misma campaña . Turla ya estaba clasificado como uno de los apartamentos de alto nivel, en la misma liga que la divulgada recientemente Regin por ejemplo.
El descubrimiento del componente Linux sugiere que es más grande de lo
que se pensaba y puede presagiar el descubrimiento de sistemas aún más
infectados.
"Los [] Turla operaciones se llevan a cabo en entornos más amplios de
lo que previamente conocíamos", dijo a expertos de Kaspersky Lab Kurt
Baumgartner Ars.
"Todas las otras cosas que hemos visto de Turla se ha basado en
Windows. Esta pieza del rompecabezas nos muestra que no se limitan a sí
mismos."
Magic Numbers
Al igual que sus homólogos de Windows, el troyano Linux es extremadamente cauteloso. No se puede detectar usando el común comando netstat .
Para ocultarse, la puerta trasera se encuentra en estado latente hasta
que los atacantes envían paquetes inusualmente diseñados que contienen
"números mágicos" en sus números de secuencia.
El malware puede haber permanecido inadvertida en al menos un ordenador
de la víctima durante años, aunque los investigadores de Kaspersky Lab
aún no han confirmado esa sospecha. El troyano es capaz de ejecutar comandos arbitrarios a pesar de que no requiere privilegios de sistema elevados.
"Es una pieza muy interesante de código", dijo Baumgartner. "No sólo se ejecuta en Linux, pero no se puede detectar en la forma habitual."
Incluso un usuario normal con privilegios limitados puede lanzarlo, lo
que le permite interceptar los comandos de tráfico y de ejecución en las
máquinas infectadas.
Las capacidades incluyen la habilidad de comunicarse con los servidores
bajo el control de los atacantes y funciones que permiten a los
atacantes ejecutar comandos de su elección y llevar a cabo la
administración remota.
Incluso después de su descubrimiento, el componente de Linux sigue siendo un misterio.
El archivo ejecutable subyacente está escrito en los lenguajes C++ y C y
contiene código de bibliotecas previamente por escrito, una propiedad
que da el archivo autosuficiencia malicioso.
El código también es despojado de información de símbolos, lo que hace
difícil para los investigadores realizar ingeniería inversa o analizar. Como resultado, Baumgartner dijo el troyano puede tener capacidades que aún no han sido descubiertas.
Los administradores que deseen comprobar si los sistemas Linux
infectados por Turla pueden comprobar el tráfico de salida para las
conexiones con news-bbc.podzone[.]org o 80.248.65.183, que son las
direcciones de los canales de mando y de control conocidos codificado
en el troyano Linux. Los administradores también pueden crear una firma usando una herramienta llamada YARA que detecta las cadenas "TREX_PID=%u" y "Remote VS is empty !"
Dado el poder y el sigilo de la puerta de atrás, sin mencionar su
conexión con una de las campañas de espionaje más sofisticados
descubiertos hasta la fecha, no sería sorprendente que el descubrimiento
para abrir la puerta a los descubrimientos de más infecciones o
componentes de malware.
"La investigación está en curso", dijo Baumgartner.
"Quiero suponer en algún momento esto va a tender un puente a otro
hallazgo debido a la forma en que se utiliza esta puerta trasera."