Abo
  • Services:
Anzeige
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen.
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen. (Bild: Screenshot Golem.de)

Malware: Turla gibt es auch für Linux

Die Cyberspionagekampagne gegen Regierungen und das Militär in Europa und dem Mittleren Osten wurde auch mit Hilfe von Malware durchgeführt, die unter Linux läuft. Auch dort ist sie sehr schwer aufzuspüren.

Anzeige

Die als Turla bekanntgewordene Cyberspionagekampagne hat eine weitere, bislang unbekannte Komponente bekommen: Zusätzlich zu der verwendeten Malware für Windows gibt es auch eine für Linux. Sie wurde erst vor wenigen Tagen entdeckt und jetzt vom IT-Sicherheitsunternehmen Kaspersky analysiert.

Die Malware erweitere das Einsatzgebiet von Turla enorm, schreibt Kaspersky. Denn die Schadsoftware laufe fast unbemerkt auf Linux-Servern und erlaube dessen Fernsteuerung sowie das Einschleusen von weiterer Schadsoftware, etwa um weitere Rechner im Netzwerk zu infizieren.

Alles ist in einer Datei

Mit herkömmlichen Mitteln lasse sich die Malware nur schwer aufspüren, schreiben die Datenexperten bei Kaspersky. Obwohl die Malware über das Netzwerk von Angreifern gesteuert wird, ist es beispielsweise für Netstat weitgehend unsichtbar. Außerdem sind sämtliche benötigten Werkzeuge in die Binärdatei hineinkompiliert worden samt Parameter, so dass keine Konfigurationsdatei benötigt wird. Dadurch lässt sich die Malware auch nicht an Hand von Zeichenketten aufspüren.

Außerdem wurden beim Kompilieren die Symbole entfernt, was die Analyse der Software zusätzlich erschwert. Kaspersky hat jedoch entdeckt, dass die Bibliotheken Glibc, Openssl und Libpcap in der Binärdatei statisch verlinkt wurden und somit enthalten sind. Als Vorlage soll die bereits im Jahr 2000 entwickelte Proof-of-Concept-Malware Cdoor.c dienen.

Aktiviert durch magische Pakete

Damit der Trojaner überhaupt aktiv wird, schickt der Angreifer Datenpakete an den Server, die vom Pcap-Modul im Trojaner abgefangen werden. Sind in den Datenpaketen bestimmte Zeichenketten enthalten, wird der Trojaner aktiv und öffnet eine Verbindung zu einem C&C-Server, um weitere Befehle zu empfangen. Das funktioniert auch, wenn der Trojaner nur mit Benutzerprivilegien gestartet wird.

In dem Turla-Trojaner ist eine fest codierte IP-Adresse, die zu der Domain news-bbc.podzone[.]org führt, die in Afrika registriert ist. Daran lässt sich der Trojaner erkennen, wenn er aktiv ist. Administratoren können ihren Netzwerkverkehr nach Verbindungen zu der IP-Adresse 80.248.65.183 überprüfen. Anhand der Zeichenketten TREX_PID=%u und Remote VS is empty ! lässt sich die Malware ebenfalls aufspüren.


eye home zur Startseite
bjs 11. Dez 2014

man kann es nicht mit sicherheit, da es bugs auch im kernel gibt.

bjs 11. Dez 2014

das ding braucht fix root rechte. entweder, indem man es als root startet, oder durch...

jt (Golem.de) 11. Dez 2014

SorrydieLeertastewarkaputt. Jetzt ist der Fehler behoben. Danke für den Hinweis.



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Heidelberg
  2. Vodafone GmbH, Düsseldorf
  3. Bertrandt Services GmbH, Nürnberg
  4. GDS mbH, Landshut


Anzeige
Hardware-Angebote
  1. 89.99$/81,50€
  2. (nur in den Bereichen "Mainboards", "Smartphones" und "TV-Geräte")
  3. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. taz

    Strafbefehl in der Keylogger-Affäre

  2. Respawn Entertainment

    Live Fire soll in Titanfall 2 zünden

  3. Bootcode

    Freie Firmware für Raspberry Pi startet Linux-Kernel

  4. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  5. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  6. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  7. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  8. Raspberry Pi

    Compute Module 3 ist verfügbar

  9. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  10. Airbus-Chef

    Fliegen ohne Piloten rückt näher



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

Taps im Test: Aufsatz versagt bei den meisten Fingerabdrucksensoren
Taps im Test
Aufsatz versagt bei den meisten Fingerabdrucksensoren
  1. Glas Der Wunderwerkstoff
  2. Smartphone-Prognosen Das Scheitern der Marktforscher
  3. Studie Smartphones und Tablets können den Körper belasten

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Re: Ich sehe da kein Glas...

    Dingens | 05:48

  2. Re: Warum will das jemand?

    root666 | 05:42

  3. Re: Selbstverständlich muss es markenübergreifende

    maxule | 04:31

  4. Re: Erstaunliches Line-Up für das erste Jahr...

    unbekannt. | 04:10

  5. Ungenügender Umgang mit Subprime-Krediten

    Pjörn | 03:09


  1. 18:02

  2. 17:38

  3. 17:13

  4. 14:17

  5. 13:21

  6. 12:30

  7. 12:08

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel