Turla Linux trojāns gadiem ilgi ir zadzis datus

Iedvesmojos no vakardienas raksta komentāriem par vīrusiem un trojāniem. Cilvēki joprojām tic mītiem, ka Linux un OS X sistēmas ir drošākās sistēmas pasaulē un tām neko nevar izdarīt. Muļķības. Šajā rakstā par Mac OS X Yosemite drošību es parādīju tos operētājsistēmā iebūvētos rīkus, kas ikdienā sūta lietotāja datus pie katras kustības. Šādi rīki ir iestrādāti gandrīz visās programmās.

Uzkabināt trojas zirgu uz jebkuru citu “kustību” ir tikai laika un vēlmes jautājums. Ja tavā datorā nav trojas zirga, tad tas nav tāpēc, ka tu lieto drošu sistēmu, bet gan tāpēc, ka tu nevienu neinteresē. Ir pietiekami daudz citu lietotāju, kuru datoru resursiem var tikt klāt daudz vienkāršāk un šo lietotāju ir daudz vairāk, lai ieguldītais darbs un atdeve būtu efektīva.

Šis raksts varētu būt laba viela pārdomām nākamreiz, kad sitīsi pie krūtīm un mēģināsi kādam pierādīt par to, ka Linux sistēma ir pati drošākā.

Now researchers from Moscow-based Kaspersky Lab have detected Linux-based malware used in the same campaign. Turla was already ranked as one of the top-tier APTs, in the same league as the recently disclosed Regin for instance. The discovery of the Linux component suggests it is bigger than previously thought and may presage the discovery of still more infected systems.

Protams, var apgalvot, ka visus tos zombētos datorus un serverus administrēja dauņi un stulbie lietotāji, kas spaida ne tās pogas.

Iespējams. Skaidrs ir tikai tas, ka antivīrusu pētniekiem būs ar ko nodarboties tuvākajā laikā. Te var palasīt par Pingvīna Turlas piedzīvojumiem.

This Turla cd00r-based malware maintains stealth without requiring elevated privileges while running arbitrary remote commands. It can’t be discovered via netstat, a commonly used administrative tool. It uses techniques that don’t require root access, which allows it to be more freely run on more victim hosts. Even if a regular user with limited privileges launches it, it can continue to intercept incoming packets and run incoming commands on the system.

No šobrīd identificētām lietām var paskanēt log failus.

Statically linked libraries:

  • glibc2.3.2 – the GNU C library
  • openssl v0.9.6 – an older OpenSSL library
  • libpcap – tcpdump’s network capture library

Hardcoded C&C, known Turla activity: news-bbc.podzone[.]org
The domain has the following pDNS IP: 80.248.65.183

Es gan stipri šaubos, ka kādam no šī bloga lasītājiem būs šis trojāns uzkarināts. Pēc visa spriežot, tas ir tik veikli izveidots, ka tā izstrādi ir apmaksājuši bagāti onkuļi, kurus interesē daudz svarīgākas lietas. Un parastie mirstīgie nav viņu mērķa auditorija. 😉

Iz Hacker News dzīlēm.

10 thoughts on “Turla Linux trojāns gadiem ilgi ir zadzis datus

  1. e-remit

    Vai tad kāds saka, ka uz Linux nevar būt vīrusi? Galu galā, uz Unix vīrusi parādījās ātrāk, kā uz DOS/Windows. Vakardienas komentārā tikai norādīju 10 gadus veco mītu: “Kad Linux kļūs populārs, arī uz tā būs vīrusi”.
    Lai arī teorētiski uz *nix sistēmām vīrusus varētu pat labāk izplatīt, nekā uz Windows, jo uz lielākās daļas *nix datoru ir C kompilators un ļaunā programmatūra var tikt nokompilēta tieši šai operētājsistēmas versijai, praksē šāda izplatība ir maza un uz *nixiem netiek aktīvi liktas antivīrusu programmas, kas ir Must have uz Windows. Problēma bieži ir tajā pašā apstāklī, kāpēc daudzi vīrusi aplaužas arī uz Windows, ja lietotājs nestrādā ar administratora tiesībām – nepietiek tiesības ko nopietnu pasākt. Ir jau bijuši tārpi, kas mērķēti uz Apache vai Sendmail kļūdām, bet arī to nelabo ar antivīrusiem.
    Arguments “Kad Linux kļūs populārs” neiztur kritiku, jo Linux popularitāte jau sen ir pietiekama mērķauditorija (kaut vai vairāk, kā 20 miljonu Ubuntu instalācijas, ko mēdz nievāt par “Windowsu starp Linuxiem”), kā arī Unix bāzētais OSX arī nevar tikt nosaukts par sliktu mērķauditoriju, bet arī tur tādas panikas nav.

    Atbildēt
    1. coolynx Raksta autors

      Viss ir relatīvs. Visticamāk, ka populārs vēl nenozīmē interesants mērķis. Es gan domāju, ka mēs vēl dzirdēsim par OS X trojāniem, kas būs orientēti uz vienkāršo amurikāņu klikšķinātāju. OS X izplatība ir diezgan liela un pieaugoša, lai kaut kas veidotos. Linux trojānus rakstīs uz pasūtījumu, lai darbotos ar valsts iestādēm un korporatīvo spiegošanu.

      Atbildēt
  2. BlackHalt

    Teorētiķi 🙂
    Informācijas avots ir Kašmarskis – Kremļa roka.
    Uzraksti arī par to kā Krievijas AM taisīja konkursu par TOR uzlauzšanu 🙂

    Latvijas AM varētu papētīt uz cik Windows zombijdatoriem ir uzstādīts Kašmarskis.

    Atbildēt
  3. z

    Ja man dod laiku droši sakonfigurēt linux sistēmu es pilnīgi skaidri zinu , ka trojānis tur nesaukts nevar parādīties jo es tur zinu katru failu kam ir un kam nav jābūt. Tur vienkārši nevar parādīties jauni exe faili , tur nevar parādīties jauni procesi un ja ari parādīsies SELINUX viņus aplauzīs.
    Savukārt kas ir kas neskaitāmajos DLL, EXE , COM moduļous un registry nezina pat Microsoft tehniskais atbalsts , par parastu adminu nemaz nerunājot.

    Atbildēt
    1. JanisA

      Tad pēcāk skonfigurēto kasti tev jāaprok zem zemes un iekšā neslēdz, jo pilnīgi skaidrs ka tikai tādu sistēmu nevar ievainot… Visam pārējam ir cilvēciskais faktors, lai cik ideāla būtu OS un pārliecināti tās konfigurētāji un ja šodien vēl nevar tas neneozīmē ka rīt nevarēs. Starp citu arī Windows šādi būs pasargāts

      Atbildēt
  4. Neticis

    Kaspersky analītiķi braši aprakstījuši, ko trojānis var darīt, bet neko nesaka, kā gan tas varētu nokļūt uz datora, ja neskaita apzinātu uzstādīšanu…
    https://securelist.com/blog/research/67962/the-penquin-turla-2/ ir labs secinājums:
    “Although Linux variants from the Turla framework were known to exist, we haven’t seen any in the wild yet.”

    Atbildēt
  5. deni2s

    Ko ņematies, izskatās, ka Artis vienkārši kacina tautu, lai vairāk komentē 🙂 Katrs pats zina, cik vīrusus uz savas sistēmas saķēris.

    Attaisnojumi, ka “tu esi pārāk neinteresants, lai tevi ķerstītu ar vīrusu un trojāni” neiztur kritiku, jo kats windows lietotājs nez kāpēc ir īpaši interesants. (Līdzīgi, kā Internets pierādīja, ka, ja miljons pērtiķus nosēdinās pie klaviatūras, neviens pat nejaušības pēc nespēs atkārtot Šekspīra lugu.)

    Pēdējos 3-4 gadus, kopš lietoju osx, par trojāniem un vīrusiem, antivīrusiem un firewalliem esmu aizmirsis uztraukties pilnībā. Ir interesantākas lietas dzīvē, par kurām domāt 🙂

    Atbildēt
  6. Kirurgs

    Šis viss ir ļoti interesants un plašs pasākums kuru apskatot nedrīkst ierobežot nelielu “use case” un sēdēt neliela būrīša rāmjos – aka Linux ir vīrusi un tas ir mīts ka Linux ir sekūrāks par Win. Mīts tas nav viennozīmīgi.
    Viss ir relatīvs, ko mēs galu galā uzskatam par vīrusu. Mēģināsim par vienkāršajiem lietotājiem, jo tas skar gandrīz visus. Ja vīruss ir kaut kas ko persona novelk un pēc tam darbina, tipa “CheckMyPhotos.exe” vai e-pasta pielikumus ar “MyCuteCat.jpg.exe” (jo “.exe” taču Win slēpj defaultā), jā tas ir pseidovīruss jo persona pati darbina visādu crapu, bet no otras puses tādu personu ir KAUDZE, līdz ar to klasificējam kā vīrusu. Linux novilkt kaut ko kas būtu vienkārši darbināms no Web īsti nav iespējams, jo lai darbinātu programmu tai vajag execute privilēģijas, kuras pašas tur neuzstādās uzreiz pēc kaut kā novilkšanas no plašajiem internetiem, Linux neskatās vai programmu var darbināt pēc paplašinājuma, to neslēpj, par OSX gan nezinu kas notiek ar failiem ar paplašainājumu .app (laikam).
    Lai varētu darīt ko nopietnāku fonā, kaut piemēram it kā muļķīgo “keygrabber” un spert internetbankas paroles (piemēram), Windows pietiek to nokačāt, piestartēt, “yes, yes” un basta, lielākā daļa tāpat strādā ar admin tiesībām, jo citādi ir drausmīgi neērti. Linux lai ko tādu izdarītu vajag “root”, un ja jau to dara ar “root” tad tomēr apzināti vai caur caurumu protams (kuru tomēr ir ļoti ļoti maz). Linux softs instalējas caur “store” – nav nepieciešamības pat iet un apzināti meklēt kaut ko instalējamu, jebkas kas jāinstalē/jāstartē ne no “store” pats par sevi jau rada aizdomas. Linux 99.99% strādā ar nepriviliģētu lietotāju un galu galā tas nerada ne kripatiņu neērtību, tātad tomēr it kā drošāk taču vai ne.
    Un tad patiesībā mēs nonākam līdz tam ko nozīmē “dizāsters” uz datora vienkāršajam lietotājam. Tas ir personīgo datu zaudēšana, ja jebkas izdzēš nafig visus dokumentus vai nofenderē facebook paroles utml., tas ir reālais ļaunums. Un to tomēr visvieglāk izdarīt Windows, grozi kā gribi.
    Tas ka Linux/OSX vīrusu nav – nav taisnība, vīrusi ir visur, tas ka patiesībā tie kas strādā ar Win ir vairāk apdraudēti tieši personīgo paradumu dēļ + izmantojot iespējas ko dod sistēma – ir taisnība, viss paliek daudz sarežģītāk kad pretīm stāv Mac un vēl trakāk kad Linux.
    Tomēr kaut kā apziņa ka softs kuru darbinu uz savas kastes ar Linux no “store”, kura kodam ir pārgājuši pāri daudz acu un to var redzēt ikviens ir drošāk kā novilkt it kā foršu programmiņu no neta ar paplašinājumu “.exe” un cerēt ka viņš nespers datus kaut vai maskējot to ar “anonymous usability report” 🙂
    My 2 cents…

    Atbildēt

Atbildēt uz komentāru z Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *