顶级 Linux 间谍木马潜伏多年,监控45国政府

oschina
 oschina
发布于 2014年12月16日
收藏 111

本周日,来 OSC·年终盛典收割技术干货,get新技能!!>>>

1696299706

近日卡巴斯基和赛门铁克的安全专家发现了一个极其隐秘的Linux间谍木马,专门窃取全球政府部门和重要行业的敏感数据。

最新发现的Linux间谍木马是卡巴斯基和赛门铁克今年8月份发现的高级持续攻击——图兰(Turla)的另外一块拼图。“图兰”主要攻击目标是全球45个国家的政府部门、使领馆、军队、教育科研机构以及医药公司,是当今最顶级的APT高级持续攻击活动,与最近发现的Regin处于同一级别,与近年来发现的国家级恶意软件如Flame、Stuxnet和Duqu很像,技术上高度复杂。

据卡巴斯基实验室透露此前安全界仅发现基于Windows系统的“图兰”间谍木马。而且由于“图兰”采用了Rootkit技术,极难被发现。

Linux间谍木马的曝光表明“图兰”的攻击面还覆盖了Linux系统,与Windows版木马类似,Linux版“图兰”木马高度隐秘,使用常规 方法(例如Netstat命令)根本无法察觉,该木马进入系统后会隐藏并保持静默潜伏,有时甚至会在目标的电脑中潜伏长达数年之久,直到攻击者发送包含特 定序列数字的IP包时才会被激活。

激活后Linux版图兰木马可以执行任意命令,甚至无需提升系统权限,任何一个普通权限用户都能启动它进行监控。

目前安全界对Linux版图兰木马及其潜在功能的了解还非常有限,已知信息包括该木马由C和C++语言开发,包含了必要的代码库,能够独立运行。图兰木马的的代码去除了符号信息,这使得研究者很难对其进行逆向工程和深入研究。

安全牛建议重要部门和企业的Linux系统管理员尽快自查是否感染了Linux版图兰木马,方法很简单:检查出站流量中是否包含以下链接或地 址:news-bbc.podzone[.]org or 80.248.65.183,这是目前已经发现的Linux版图兰木马硬编码的命令控制服务器地址。系统管理员还可以使用开源恶意软件研究工具YARA生成证书,并检测其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”两个字符串。

稿源:安全牛

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:顶级 Linux 间谍木马潜伏多年,监控45国政府
加载中

最新评论(80

四十大盗与阿里巴巴
四十大盗与阿里巴巴

引用来自“LinkerLin”的评论

最安全的还是用些小众的操作系统。
比如FreeBSD什么的。
越小众,越安全.哈哈.
bboss
bboss
oo
MewX
MewX
发现漏洞就开源社区就可以修复啦
阿飞v
阿飞v
没看明白,是说linux kernel就有?还是某个发行版有?还是装了某种软件后才有?
sidbusy
sidbusy

引用来自“sindtoto”的评论

看来机密的单位无论什么系统都必须使用隔离网络,只有无路隔离才有所谓的安全,否则都是相对的。

引用来自“蟋蟀哥哥”的评论

物理隔离也不是绝对安全。

引用来自“sindtoto”的评论

这样在这些安全措施应该是最安全的啦,接着杜绝移动存储器的接触。

引用来自“蟋蟀哥哥”的评论

人才是最大的漏洞,不管你网络做得如何安全,总有人有权限可以上外网,可以接移动存储,总有办法进入不该进入的地方,只要数据的价值值得有人去盗窃

引用来自“sindtoto”的评论

指的是正常情况下,机密单位也不是谁都能进的,所以断网和停止使用移动存储已足够。作为部队搞信息化的同志一点经验。

引用来自“蟋蟀哥哥”的评论

我是一级保密单位的,我还不清楚?

引用来自“sindtoto”的评论

一级保密单位是什么单位?你们的秘密泄密会被枪毙吗?判刑走不走地方法院?我告诉你我们的最差的泄密都是无期,直接军事法庭就over了。

引用来自“蟋蟀哥哥”的评论

地方法院能能管不到我这,我这直属中央。和铁路一样自成系统懂了吧??连警察都是自己的警察。

引用来自“zhenjie”的评论

看了楼上的回复,真是感觉世界太不安全了,我默默的走进了机房,拉掉了电闸。
我是来看楼上撕逼的。
首祚
首祚

引用来自“zhenxxin”的评论

高深技术不懂,但是,个人电脑半年装次系统,不就物理切断了吗?(貌似个人电脑没啥意思?)
有些病毒不是装次系统就能清理的。
郭大侠
郭大侠
不懂核心技术,没得讨论,只好聊哲学了。
_bill
_bill

引用来自“sindtoto”的评论

看来机密的单位无论什么系统都必须使用隔离网络,只有无路隔离才有所谓的安全,否则都是相对的。

引用来自“蟋蟀哥哥”的评论

物理隔离也不是绝对安全。

引用来自“sindtoto”的评论

这样在这些安全措施应该是最安全的啦,接着杜绝移动存储器的接触。

引用来自“蟋蟀哥哥”的评论

人才是最大的漏洞,不管你网络做得如何安全,总有人有权限可以上外网,可以接移动存储,总有办法进入不该进入的地方,只要数据的价值值得有人去盗窃

引用来自“sindtoto”的评论

指的是正常情况下,机密单位也不是谁都能进的,所以断网和停止使用移动存储已足够。作为部队搞信息化的同志一点经验。

引用来自“蟋蟀哥哥”的评论

我是一级保密单位的,我还不清楚?

引用来自“sindtoto”的评论

一级保密单位是什么单位?你们的秘密泄密会被枪毙吗?判刑走不走地方法院?我告诉你我们的最差的泄密都是无期,直接军事法庭就over了。

引用来自“蟋蟀哥哥”的评论

地方法院能能管不到我这,我这直属中央。和铁路一样自成系统懂了吧??连警察都是自己的警察。

引用来自“zhenjie”的评论

看了楼上的回复,真是感觉世界太不安全了,我默默的走进了机房,拉掉了电闸。
直接砸了硬盘,嘻嘻!
kernel64
kernel64
VB已经过时了,现在都用c#.

呵呵.

同意的顶.
返回顶部
顶部