Solaris Boxes là mục tiêu của Backdoor Linux Turla

Phân tích gần đây về phần mềm độc hại biến thể Linux tiết lộ rằng phần mềm này được thiết kế cho Trojan Turla truy cập từ xa (RAT) có thể nhắm vào các máy tính chạy hệ điều hành Solaris.

Turla RAT là một thành phần của một hoạt động tình báo mạng mà các nhà nghiên cứu bảo mật tại Kaspersky phát hiện ra và gọi nó là Epic Turla. Họ phát hiện ra rằng hàng trăm máy tính chạy Windows tại hơn 45 quốc gia đã bị nhiễm phần mềm độc hại này.

Máy tính chạy Solaris bị lây nhiễm Turla không gây ngạc nhiên

Mặc dù vậy, vào đầu tuần, Kaspersky đã công bố phát hiện một biến thể Linux được sử dụng bởi tội phạm mạng đằng sau chiến dịch Epic Turla, còn được gọi là Snake and Uroburos. Phân tích của họ tập trung vào các chức năng của mối đe dọa.

F-Secure cũng đã xem xét các mẫu phần mềm độc hại và đi đến kết luận rằng Linux Turla có một môi trường thiết lập cho tập tin thực thi lệnh điển hình cho hệ điều hành Solaris, không phải Linux. Bài đăng này được công bố sau một phát hiện thú vị, đó là khả năng phát hiện các giao diện mạng trong công cuộc tìm kiếm một loại hình cụ thể của gói tin cho phép nó cấu hình các địa chỉ máy chủ C&C và kích hoạt các chức năng của nó.

Linux Turla dựa trên mã nguồn của proof-of-concept từ năm 2000

Một khía cạnh thú vị liên quan đến các biến thể Linux của mối đe dọa APT Turla là nó dựa trên mã tự do có sẵn từ phần mềm độc hại cd00r proof-of-concept, được thiết kế lại vào năm 2000 để minh chứng rằng các máy chủ backdoor có thể không bị phát hiện; điều này đưa đến một thực tế rằng các cổng nhận lệnh không mở vào mọi lúc; chúng chỉ mở khi các gói dữ liệu nào đó được phát hiện trong lưu lượng mạng.

Điều quan trọng cần lưu ý là Kaspersky phát hiện ra nhiều hơn một chủng của phần mềm độc hại này, do vậy F-Secure gợi ý nghiên cứu về hoạt động phát triển và hỗ trợ các nền tảng lý thuyết porting.

Mặc dù hệ điều hành Solaris, được phát triển bởi Oracle, có thể sử dụng trên máy tính để bàn nhưng nó được phát hiện sử dụng chủ yếu trên các máy chủ và máy tính lớn. Phiên bản mới nhất hiện có là phiên bản 11 và nó tiến tới mục đích cải thiện hoạt động đám mây thông qua tối đa hóa các nguồn lực của một trung tâm dữ liệu và giữ nó an toàn.

Turla có tất cả những điểm nổi bật của một APT và nó được cho là vẫn đang hoạt động tại thời điểm này. Nó đã được phát hiện trong năm nay, nhưng các nhà nghiên cứu xác định rằng nó bắt đầu vào năm 2012, nhắm tới tới các cơ quan chính phủ, các cơ quan tình báo, các tổ chức ngoại giao cũng như quân đội, học viện và các ngành dược phẩm.

Softpedia

Bình luận

Từ khóa: