Turla : Un trojan furtif Linux ayant fait beaucoup de victimes

3
174

Des chercheurs ont découvert un cheval de Troie extrêmement furtif visant les systèmes Linux. Le backdoor est identique a celui utilisé par des attaquants pour siphonner les données sensibles de gouvernements et de compagnies pharmaceutiques du monde entier, dans 45 pays.

Le malware jusqu’ici inconnu représente un morceau manquant du puzzle lié à Turla, une menace avancée persistante (APT) révélée en août par Kaspersky Lab et Symantec. Pendant au moins quatre ans, la campagne a visé les institutions gouvernementales, les ambassades, les militaires, l’éducation, la recherche, et les compagnies pharmaceutiques dans plus de 45 pays (Snake / Uroburos). Les assaillants inconnus sont probablement soutenus par un État-nation, selon Symantec. Le backdoor est connus pour avoir infecté plusieurs centaines d’ordinateurs sous Windows en exploitant une large variété de vulnérabilités, et au moins deux étaient des failles zero-day. Le malware a été marqué par son utilisation au sein d’un rootkit, ce qui le rend extrêmement difficile à détecter. Le nom de code de Turla est cd00r.

Les chercheurs de Kaspersky Lab, basé à Moscou ont détecté des logiciels malveillants basé sur Linux utilisé dans la même campagne. Turla a déjà été classé comme un APT de haut niveau, dans la même ligue que l’a récemment révélé Regin par exemple. La découverte d’une composante sur Linux suggère qu’il est plus important qu’on ne le pensait et peut présager la découverte d’encore plus de systèmes infectés.

“Les opérationsTurla sont effectuées dans des environnements plus larges que ce que nous connaissions auparavant”, a déclaré l’expert de Kaspersky Lab Kurt Baumgartner Ars. “Toutes les autres choses que nous avons vu de Turla a été basé sur Windows. Cette pièce du puzzle nous montre qu’ils ne se limitent pas.”

Comme sur son homologue Windows, le cheval de Troie sur Linux est extrêmement furtif. Il ne peut pas être détecté par la commande netstat. Pour se cacher, le backdoor reste en sommeil jusqu’à ce que des attaquants envoient des paquets inhabituellement conçus qui contiennent des “nombres magiques” dans leurs numéros de séquence. Le malware peut passer inaperçu sur la machine de la victime pendant des années, bien que les chercheurs de Kaspersky Lab n’ont toujours pas confirmé ce soupçon. Le cheval de Troie est capable d’exécuter des commandes arbitraires, même si elle ne nécessite pas de privilèges de système élevés. Il permet à des attaquants d’exécuter des commandes arbitraires sur un système compromis, sans avoir besoin de privilèges élevés ou d’accès root pour fonctionner. Il répond à des commandes transmises par paquets TCP/UDP masqués, ce qui en fait un malware furtif.

C’est une pièce très intéressante de code,” a déclaré Baumgartner. “Non seulement il tourne sous Linux, mais vous ne pouvez pas le détecter avec les moyens habituels.

Même un utilisateur régulier avec des privilèges limités peut le lancer, ce qui lui permet d’intercepter les commandes de circulation et d’exécution sur les machines infectées. Les fonctionnalités incluent la possibilité de communiquer avec les serveurs sous le contrôle de pirates et des fonctions permettant a des attaquants d’exécuter des commandes de leur choix et d’effectuer la gestion à distance.

Même après sa découverte, le composant Linux reste un mystère. Le fichier exécutable sous-jacente est écrit dans les langages C et C ++ et contient le code des bibliothèques écrites précédemment, une propriété qui donne au fichier malveillant une autonomie. Le code est également privé de l’information de symbole, ce qui rend difficile pour les chercheurs de l’étudier par ingénierie inverse ou de l’analyser. En conséquence, Baumgartner a dit que le cheval de Troie peut avoir des capacités qui ne sont pas encore été découvertes.

Les administrateurs qui souhaitent connaître les systèmes Linux infectés par Turla peuvent vérifier le trafic sortant pour les connexions à news-bbc.podzone.org ou 80.248.65.183, qui sont les adresses des canaux de commande et de contrôle connus codés en dur dans le cheval de Troie sur Linux. Les administrateurs peuvent également créer une signature en utilisant un outil appelé YARA qui détecte certaines chaînes.

Compte tenu de la puissance et de la furtivité du backdoor, sans parler de son lien direct à l’une des campagnes d’espionnage la plus sophistiquée découverte à ce jour-il ne serait pas surprenant que pendant l’analyse soit découverte plus d’infections ou de composants de logiciels malveillants.

La recherche est en cours“, a déclaré Baumgartner. “Je suppose qu’a un moment donné cela va amener à une autre conclusion en raison de la façon dont ce backdoor est utilisé.

Les commentaires sont fermés.