Troyano afecta a Linux durante años

linux-trojan

Investigadores han descubierto un troyano extremadamente sigiloso que sistemas Linux que los atacantes han estado usando para desviar los datos sensibles de los gobiernos y las empresas farmacéuticas de todo el mundo.

El malware que no habían sido descubierto representa una pieza del rompecabezas que falta vinculada a “Turla,” una llamada amenaza persistente avanzada (APT) se da a conocer en agosto por Kaspersky Lab y Symantec. Por lo menos cuatro años ha circulado este malware destinado a recopilar información de diversas entidades, la campaña estaba dirigida a las instituciones gubernamentales, embajadas, militar, educación, investigación y compañías farmacéuticas en más de 45 países. Los atacantes desconocidos -que probablemente están respaldados por un Estado o nación por la complejidad de programación y características, de acuerdo con Symantec, eran conocidos por haber infectado a varios cientos de equipos basados en Windows mediante la explotación de una variedad de vulnerabilidades, al menos, dos de los cuales eran errores de día cero. El malware fue notado por su uso de un rootkit que hacía extremadamente difícil de detectar.

Ahora los investigadores de Kaspersky Lab con sede en Moscú han detectado un malware basado en Linux se utiliza en la misma campaña. Turla ya estaba clasificado como uno de los apartamentos de alto nivel, en la misma liga que la divulgada recientemente Regin por ejemplo. El descubrimiento del componente Linux sugiere que es más grande de lo que se pensaba y puede presagiar el descubrimiento de sistemas aún más infectados.

“Los denominados “Turla” son operaciones se llevan a cabo en entornos más amplios de lo que previamente conocíamos”, dijo a expertos de Kaspersky Lab Kurt Baumgartner Ars. “Todas las otras cosas que hemos visto de Turla se ha basado en Windows. Esta pieza del rompecabezas nos muestra que no se limitan a sí mismos.”


Al igual que sus homólogos de Windows, el troyano que afecta a Linux es extremadamente cauteloso. No se puede detectar usando el comando netstat común. Para ocultarse, utiliza la puerta trasera que se encuentra en estado latente hasta que los atacantes envían paquetes inusualmente diseñados que contienen “números mágicos” en su codificación de secuencia. El malware puede haber permanecido inadvertido en al menos un ordenador de la víctima durante años, aunque los investigadores de Kaspersky Lab aún no han confirmado esa sospecha , pero, el troyano es capaz de ejecutar comandos arbitrarios a pesar de que no requiere privilegios de sistema elevados.

“Es una pieza muy interesante de código”, dijo Baumgartner. “No sólo se ejecuta en Linux, además no se puede detectar de forma habitual.”

Incluso un usuario normal con privilegios limitados puede lanzarlo, lo que le permite interceptar los comandos de tráfico y de ejecución en las máquinas infectadas. Las capacidades incluyen la habilidad de comunicarse con los servidores bajo el control de los atacantes y funciones que permiten a los atacantes ejecutar comandos de su elección y llevar a cabo la administración remota.

Incluso después de su descubrimiento, el componente de Linux sigue siendo un misterio. El archivo ejecutable subyacente está escrito en los idiomas ++ C y C y contiene código de bibliotecas previamente por escrito, una propiedad que da el archivo autosuficiencia malicioso. El código también es despojado de información de símbolos, lo que hace difícil para los investigadores realizar ingeniería inversa o analizar. Como resultado, Baumgartner dijo el troyano puede tener capacidades que aún no han sido descubiertas.

Fuente: Artechnica

Lino Cisterna

CEO&Founder RevistaProware.com Aficionado a las Ciencias, Física Teórica, (G)Astronomía, Sociología, Psicología, Teorías de la Tecnología (AAT).

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *