隱蔽性極強,難以被發現,而且非常有效。卡巴斯基實驗室的莫斯科研究人員剛剛在 Linux 上發現了惡意軟體,該惡意軟體是卡巴斯基實驗室和賽門鐵克去年 8 月披露的規模更大的駭客「活動」的一部分。
炎熱夏季的後果
這次襲擊被稱為“Turla”,已經持續了至少四年,目標是約 45 個國家的政府機構、大使館、軍事場所、教育、研究和製藥公司。去年8月,卡巴斯基和賽門鐵克的研究人員表示,他們不知道這一系列攻擊的幕後黑手是誰,但推測駭客肯定是由某個國家資助的。
數百台 Windows 電腦因利用一系列多種多樣的漏洞而受到污染,其中至少有兩個漏洞零日漏洞– 這通常非常罕見。該惡意軟體也使用了根工具包,一種隱藏其活動的工具,這使得它更難以檢測。
潛伏且近乎神奇
因為只要特洛伊木馬沒有收到「魔法資料包」形式的指令(然後啟動遠端命令的執行),它就會在受污染的系統上保持隱藏狀態並且無法運作。這使其遠離常用的檢測工具,特別是 netstat 命令,該命令允許監視網路連線。
此外,該惡意軟體不需要很高的權限即可運行,這意味著運行 Linux 的電腦上的任何用戶都可以在不知情的情況下執行它。然後,惡意軟體能夠攔截網路流量並在受感染的電腦上執行命令以進行遠端管理。被駭客攻擊的機器將能夠與攻擊者控制的伺服器進行通訊並為其提供資訊。那麼很容易想像這會對傳遞機密或非常重要資訊的機器產生什麼後果。
目前,網路管理員可以檢查到網域和 IP 位址(news-bbc.podzone dot org 和 80.248.65.183)的傳出流量,這些流量被硬編碼在特洛伊木馬代碼中。但必須使用其他位址和伺服器。
有史以來最大的活動之一
考慮到其發現的規模,卡巴斯基研究人員認為應該發現新的模組。自從他們在博客上首次發表帖子以來,這實際上已經發生了。在 Turla 的「野外」中發現活躍的 Linux 對應物,無疑將這項駭客活動列為最雄心勃勃和最危險的活動之一。與同一級別威瑞森公司例如,賽門鐵克於 11 月底發現的,是最嚴重的問題之一« APT », 這進階持續威脅,或進階且持續的威脅。
另請閱讀:
賽門鐵克表示:“防毒軟體已死”– 06/05/2014
