隐蔽性极强,难以被发现,而且非常有效。卡巴斯基实验室的莫斯科研究人员刚刚在 Linux 上发现了恶意软件,该恶意软件是卡巴斯基实验室和赛门铁克去年 8 月披露的规模更大的黑客“活动”的一部分。
炎热夏季的后果
这次袭击活动被称为“Turla”,已经持续了至少四年,目标是约 45 个国家的政府机构、大使馆、军事场所、教育、研究和制药公司。去年8月,卡巴斯基和赛门铁克的研究人员表示,他们不知道这一系列攻击的幕后黑手是谁,但推测黑客肯定是由某个国家资助的。
数百台 Windows 计算机因利用一系列多种多样的漏洞而受到污染,其中至少有两个漏洞零日漏洞– 这通常非常罕见。该恶意软件还使用了根工具包,一种隐藏其活动的工具,这使得它更难以检测。
潜伏且近乎神奇
因为只要特洛伊木马没有收到“魔法数据包”形式的指令(然后启动远程命令的执行),它就会在受污染的系统上保持隐藏状态并且无法运行。这使其远离常用的检测工具,特别是 netstat 命令,该命令允许监视网络连接。
此外,该恶意软件不需要很高的权限即可运行,这意味着运行 Linux 的计算机上的任何用户都可以在不知情的情况下执行它。然后,恶意软件能够拦截网络流量并在受感染的计算机上执行命令以进行远程管理。被黑客攻击的机器将能够与攻击者控制的服务器进行通信并为其提供信息。那么很容易想象这会对传递机密或非常重要信息的机器产生什么后果。
目前,网络管理员可以检查到域和 IP 地址(news-bbc.podzone dot org 和 80.248.65.183)的传出流量,这些流量被硬编码在特洛伊木马代码中。但必须使用其他地址和服务器。
有史以来最大的活动之一
考虑到其发现的规模,卡巴斯基研究人员认为应该发现新的模块。自从他们在博客上首次发表帖子以来,这实际上已经发生了。在 Turla 的“野外”发现活跃的 Linux 对应物,无疑将这一黑客活动列为最雄心勃勃和最危险的活动之一。与同一级别威瑞森公司例如,赛门铁克于 11 月底发现的,是最严重的问题之一« APT », 这高级持续威胁,或高级且持续的威胁。
另请阅读:
赛门铁克表示:“防病毒软件已死”– 06/05/2014
