LinuxParty

Investigadores de seguridad han descubierto un troyano Linux altamente desagradable que ha sido utilizado por ciberdelincuentes bajo "ataques patrocinados por Estados" con el fin de robar información personal y confidencial de instituciones gubernamentales, militares y compañías farmacéuticas de todo el mundo.

Un trozo previamente desconocido de un rompecabezas más grande llamado "Turla", una de las más complejas amenazas persistentes avanzadas (APT) descubiertas por investigadores de Kaspersky Lab en agosto, y que se mantuvo oculto en algunos sistemas, durante al menos cuatro años. El software malicioso fue notable por su uso como un rootkit que se hacía extremadamente difícil de detectar.

La empresa de seguridad alemán G Data cree que Turla está vinculado a Rusia y en el pasado ha explotado una variedad de vulnerabilidades de Windows, al menos, dos de los cuales eran criticidades 0-días, para infectar a las instituciones gubernamentales, embajadas, militares, educación, investigación, y empresas farmacéuticas en más de 45 países.

Recientemente, investigadores de seguridad de Kaspersky Lab con sede en Moscú han detectado la primera muestra de Turla focalizado para el sistema operativo Linux. Este componente Linux es un malware y representa una amenaza mucho más grande de lo que se pensaba puesto que también anuncia el descubrimiento de más sistemas infectados.

"La muestra recién descubierta de Turla es inusual en el hecho de que es la primera muestra Turla focalizado para el sistema operativo Linux que hemos descubierto", dijo el investigador de Kaspersky, Kurt Baumgartner, que trabaja como asesor. "Sospechamos que este componente se ejecuta desde hace años en el lugar de la víctima, pero no tenemos datos concretos para apoyar esta declaración por el momento."

Los módulos del software malicioso Turla basados en Linux están escrito en C y C++ y contiene código de bibliotecas previamente escritas. El malware utiliza la comunicación de red oculta y despojado de información de símbolos, lo que hace que sea difícil para los investigadores realizar ingeniería inversa o analizarlo.

Como resultado, el troyano Turla basado en Linux puede tener capacidades que aún no han sido descubiertas por completo, como Baumgartner, es un misterio, incluso después de su descubrimiento, y agregó que no se puede detectar mediante el común comando Netstat.

Con el fin de ocultarse, la puerta trasera se encuentra inactiva hasta que los hackers envían paquetes inusualmente diseñados que contienen "números mágicos" en sus números de secuencia. El malware tiene capacidad de sentarse desapercibido en los ordenadores de las víctimas durante años. El troyano contiene funcionalidades de ataque, incluyendo la ejecución arbitraria de comandos a distancia, la interceptación de paquetes entrantes y gestión remota a pesar de que no requiere privilegios del sistema radicular.

A principios de este año, investigaciones de Kaspersky Labs sugirieron que Turla actúa como Snake, que fue construido en las capacidades de Agent.Biz, el gusano que se descubrió en 2008, cuando el Departamento de Defensa de los Estados Unidos fuentes alegó que sus redes clasificadas habían sido violadas por una primera versión del mismo virus, descrito por funcionarios como "la peor violación de estadounidenses de ordenadores militares de la historia." Uroburos rootkit fue también uno de los componentes de la campaña de Snake.

Agent.Biz desde entonces se ha desarrollado con muchas características avanzadas que lo hacen aún más flexible y sofisticado que antes. Se cree que han inspirado a otras creaciones de malware desagradables incluyendo Flame y Guass.