Anzeige
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen.
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen. (Bild: Screenshot Golem.de)

Malware: Turla gibt es auch für Linux

Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen.
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen. (Bild: Screenshot Golem.de)

Die Cyberspionagekampagne gegen Regierungen und das Militär in Europa und dem Mittleren Osten wurde auch mit Hilfe von Malware durchgeführt, die unter Linux läuft. Auch dort ist sie sehr schwer aufzuspüren.

Anzeige

Die als Turla bekanntgewordene Cyberspionagekampagne hat eine weitere, bislang unbekannte Komponente bekommen: Zusätzlich zu der verwendeten Malware für Windows gibt es auch eine für Linux. Sie wurde erst vor wenigen Tagen entdeckt und jetzt vom IT-Sicherheitsunternehmen Kaspersky analysiert.

Die Malware erweitere das Einsatzgebiet von Turla enorm, schreibt Kaspersky. Denn die Schadsoftware laufe fast unbemerkt auf Linux-Servern und erlaube dessen Fernsteuerung sowie das Einschleusen von weiterer Schadsoftware, etwa um weitere Rechner im Netzwerk zu infizieren.

Alles ist in einer Datei

Mit herkömmlichen Mitteln lasse sich die Malware nur schwer aufspüren, schreiben die Datenexperten bei Kaspersky. Obwohl die Malware über das Netzwerk von Angreifern gesteuert wird, ist es beispielsweise für Netstat weitgehend unsichtbar. Außerdem sind sämtliche benötigten Werkzeuge in die Binärdatei hineinkompiliert worden samt Parameter, so dass keine Konfigurationsdatei benötigt wird. Dadurch lässt sich die Malware auch nicht an Hand von Zeichenketten aufspüren.

Außerdem wurden beim Kompilieren die Symbole entfernt, was die Analyse der Software zusätzlich erschwert. Kaspersky hat jedoch entdeckt, dass die Bibliotheken Glibc, Openssl und Libpcap in der Binärdatei statisch verlinkt wurden und somit enthalten sind. Als Vorlage soll die bereits im Jahr 2000 entwickelte Proof-of-Concept-Malware Cdoor.c dienen.

Aktiviert durch magische Pakete

Damit der Trojaner überhaupt aktiv wird, schickt der Angreifer Datenpakete an den Server, die vom Pcap-Modul im Trojaner abgefangen werden. Sind in den Datenpaketen bestimmte Zeichenketten enthalten, wird der Trojaner aktiv und öffnet eine Verbindung zu einem C&C-Server, um weitere Befehle zu empfangen. Das funktioniert auch, wenn der Trojaner nur mit Benutzerprivilegien gestartet wird.

In dem Turla-Trojaner ist eine fest codierte IP-Adresse, die zu der Domain news-bbc.podzone[.]org führt, die in Afrika registriert ist. Daran lässt sich der Trojaner erkennen, wenn er aktiv ist. Administratoren können ihren Netzwerkverkehr nach Verbindungen zu der IP-Adresse 80.248.65.183 überprüfen. Anhand der Zeichenketten TREX_PID=%u und Remote VS is empty ! lässt sich die Malware ebenfalls aufspüren.


eye home zur Startseite
bjs 11. Dez 2014

man kann es nicht mit sicherheit, da es bugs auch im kernel gibt.

bjs 11. Dez 2014

das ding braucht fix root rechte. entweder, indem man es als root startet, oder durch...

jt (Golem.de) 11. Dez 2014

SorrydieLeertastewarkaputt. Jetzt ist der Fehler behoben. Danke für den Hinweis.

Kommentieren



Anzeige

  1. Senior SAP Basis Administrator (m/w)
    operational services GmbH & Co. KG, Frankfurt
  2. Chief Information Officer (m/w)
    NORD/LB Luxembourg S.A. Covered Bond Bank, Luxembourg-Findel (Luxemburg)
  3. Koordinator/in für ?-ffentlichkeitsarbeit und IT
    Ludwig-Maximilians-Universität (LMU) München, München
  4. Senior Security-Architekt (m/w) für Metering-Systeme
    Diehl Metering GmbH, Nürnberg

Detailsuche



Anzeige
Top-Angebote
  1. NEU: Bud`s Best - Die Welt des Bud Spencer [Blu-ray]
    8,97€
  2. NEU: Bud Spencer & Terence Hill - Monster-Box Reloaded [20 DVDs]
    64,90€
  3. NEU: 4 Blu-rays für 30 EUR
    (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)

Weitere Angebote


Folgen Sie uns
       


  1. Wileyfox Spark

    Drei Smartphones mit Cyanogen OS für wenig Geld

  2. Sound BlasterX H7

    Creative erweitert das H5-Headset um Surround-Sound

  3. Datenschutz

    Facebook trackt Standort der Nutzer um Freunde vorzuschlagen

  4. Microsoft

    Plattformübergreifendes .Net Core erscheint in Version 1.0

  5. Mobbing auf Wikipedia

    Content-Vandalismus, Drohungen und Beschimpfung

  6. Patentstreitigkeiten

    Arista wirft Cisco unfaire Mittel vor

  7. Microsoft

    Xbox One macht nicht mehr fit

  8. Google Earth

    Googles Satellitenkarte wird schärfer

  9. Brexit-Entscheidung

    4Chan manipuliert Petition mit vatikanischen IPs und Bots

  10. Twitch

    Geldsegen im Streamer-Chat



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Moto GP 2016 im Test Motorradrennen mit Valentino Rossi
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

  1. Re: Überrascht?

    Freiberufler | 13:15

  2. Gekaufte Inhalte nicht mehr verfügbar?

    Inx | 13:14

  3. Re: Nicht nur potenziell

    DebugErr | 13:14

  4. schon schlecht wenn man nicht lesen kann

    Tyler Durden | 13:14

  5. Re: Das größte Problem ist,...

    Trollversteher | 13:13


  1. 13:23

  2. 13:07

  3. 12:51

  4. 12:27

  5. 12:02

  6. 11:37

  7. 11:31

  8. 10:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel