圖蘭木馬登陸 Linux
「圖蘭」(Turla)一種難以辨別的木馬已經困擾 Windows 系統多年,現如今至少有兩個 Linux 下的變種,卡巴斯基實驗室研究人員說 Linux Turla 通過運行遠程命令進行攻擊,並不需要提升系統許可權就可以執行任意指令,因此一直以來都保持著潛伏狀態。使用常規工具(例如Netstat命令)根本無法察覺該惡意軟體。
據卡巴斯基和賽門鐵克信息安全公司揭露 幾年來 Turla 的攻擊目標為政府機構、大使館、軍事組織、研究和教育組織以及製藥企業的 Windows 系統,目前已知超過45個國家的上百個IP成為受害者,如今 Linux 系統下已經發現至少兩個變種。
第一種 Linux Turla 變種程序由C 語言和 C++ 語言編寫,由於連接了多個庫,所以它的文件體積明顯增大。攻擊者除去了帶有符號信息的代碼,這大大增加了安全專家分析該程序的難度。和其他 Turla 變種一樣,Linux Turla也可以隱藏網路通信,任意執行遠程命令和遠程控制受害者機器。
Linux Turla大量使用了開源的靜態鏈接庫,包括 glibc 2.3.2、OpenSSL v0.9.6 和 libpcap。Linux Turla並不需要使用root 許可權即可以執行攻擊命令,同時難以被發現,不會被 Linux 上管理工具(命令)netstat 探測到。也就是說,即使用戶在啟動該程序時限制了系統許可權,Linux Turla仍然可以繼續截斷數據包和執行惡意操作。
卡巴斯基並沒有提供更多關於第二種變種的資料。科技諮詢公司Enderle Group 的首席分析師 Rob Enderle 說:圖蘭木馬起源於俄羅斯,這種 Linux 惡意軟體可以潛伏多年而不被發現,其幕後攻擊者可能有國家支持。不得不說該惡意軟體十分優雅,但又極難被人發現。之前人們對 Linux 下的惡意軟體並沒有花費太多心思,這一事件告訴我們:沒有人是安全的。