企鹅Turla(Penquin Turla):史上最复杂的APT间谍软件

  卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种,它的主要攻击目标是Linux系统,因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台上之后,研究人员才注意到它并开始调查。

  间谍软件是恶意程序的一种,能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。鉴于间谍软件的巨大危害,一旦它入侵政府或军方的计算机,其后果将不堪设想。

  Turla由BAE的研究员首次发现,研究人员认为它由俄罗斯网络专家开发,并且很可能是莫斯科政府网络武器(cyber weapon)计划的一部分。安全研究人员还发现该恶意程序与之前的Uroburos病毒(一个用于网络间谍活动的恶意程序)存在关联。

  走近企鹅Turla

  企鹅Turla程序由C语言和C++语言编写,由于连接了多个库,所以它的文件体积明显增大。攻击者除去了带有符号信息的代码,这大大增加了安全专家分析该程序的难度。和其他Turla变种一样,企鹅Turla也可以隐藏网络通信,任意执行远程命令和远程控制受害者机器。

  企鹅Turla大量使用了开源的静态链接库,包括glibc2.3.2、openssl v0.9.6 和libpcap。企鹅Turla并不需要使用root权限即可以执行攻击命令,同时难以被发现,不会被Linux上管理工具(命令)netstat探测到。也就是说,即使用户在启动该程序时限制了系统权限,企鹅Turla仍然可以继续截断数据包和执行恶意操作。

  除此之外,研究人员还在Penquin Turla中发现了硬编码的控制与命令(C&C)服务器地址——news-bbc.podzone[.]org。

  不断增强的新变种

  企鹅Turla这种Turla新变种集成了当前各种资源,攻击者们对其添加了新的功能,除去了旧版本中的老代码。因此其攻击能力也有所增强。

  安全研究人员们指出,当前肯定还有很多的Turla地下工具还没有被发现。这些恶意程序正被政府资助的攻击者们用于窃取世界各国政府机构、大使馆、军方、研究机构和制药公司的机密信息。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:这货不是电源:硬件渗透测试平台 – Power Pwn