• IT-Karriere:
  • Services:

Malware: Turla gibt es auch für Linux

Die Cyberspionagekampagne gegen Regierungen und das Militär in Europa und dem Mittleren Osten wurde auch mit Hilfe von Malware durchgeführt, die unter Linux läuft. Auch dort ist sie sehr schwer aufzuspüren.

Artikel veröffentlicht am ,
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen.
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen. (Bild: Screenshot Golem.de)

Die als Turla bekanntgewordene Cyberspionagekampagne hat eine weitere, bislang unbekannte Komponente bekommen: Zusätzlich zu der verwendeten Malware für Windows gibt es auch eine für Linux. Sie wurde erst vor wenigen Tagen entdeckt und jetzt vom IT-Sicherheitsunternehmen Kaspersky analysiert.

Stellenmarkt
  1. evm-Gruppe, Koblenz
  2. Schuler Pressen GmbH, Göppingen

Die Malware erweitere das Einsatzgebiet von Turla enorm, schreibt Kaspersky. Denn die Schadsoftware laufe fast unbemerkt auf Linux-Servern und erlaube dessen Fernsteuerung sowie das Einschleusen von weiterer Schadsoftware, etwa um weitere Rechner im Netzwerk zu infizieren.

Alles ist in einer Datei

Mit herkömmlichen Mitteln lasse sich die Malware nur schwer aufspüren, schreiben die Datenexperten bei Kaspersky. Obwohl die Malware über das Netzwerk von Angreifern gesteuert wird, ist es beispielsweise für Netstat weitgehend unsichtbar. Außerdem sind sämtliche benötigten Werkzeuge in die Binärdatei hineinkompiliert worden samt Parameter, so dass keine Konfigurationsdatei benötigt wird. Dadurch lässt sich die Malware auch nicht an Hand von Zeichenketten aufspüren.

Außerdem wurden beim Kompilieren die Symbole entfernt, was die Analyse der Software zusätzlich erschwert. Kaspersky hat jedoch entdeckt, dass die Bibliotheken Glibc, Openssl und Libpcap in der Binärdatei statisch verlinkt wurden und somit enthalten sind. Als Vorlage soll die bereits im Jahr 2000 entwickelte Proof-of-Concept-Malware Cdoor.c dienen.

Aktiviert durch magische Pakete

Damit der Trojaner überhaupt aktiv wird, schickt der Angreifer Datenpakete an den Server, die vom Pcap-Modul im Trojaner abgefangen werden. Sind in den Datenpaketen bestimmte Zeichenketten enthalten, wird der Trojaner aktiv und öffnet eine Verbindung zu einem C&C-Server, um weitere Befehle zu empfangen. Das funktioniert auch, wenn der Trojaner nur mit Benutzerprivilegien gestartet wird.

In dem Turla-Trojaner ist eine fest codierte IP-Adresse, die zu der Domain news-bbc.podzone[.]org führt, die in Afrika registriert ist. Daran lässt sich der Trojaner erkennen, wenn er aktiv ist. Administratoren können ihren Netzwerkverkehr nach Verbindungen zu der IP-Adresse 80.248.65.183 überprüfen. Anhand der Zeichenketten TREX_PID=%u und Remote VS is empty ! lässt sich die Malware ebenfalls aufspüren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 304€ (Bestpreis!)
  2. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  4. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)

Anonymer Nutzer 11. Dez 2014

man kann es nicht mit sicherheit, da es bugs auch im kernel gibt.

Anonymer Nutzer 11. Dez 2014

das ding braucht fix root rechte. entweder, indem man es als root startet, oder durch...

jt (Golem.de) 11. Dez 2014

SorrydieLeertastewarkaputt. Jetzt ist der Fehler behoben. Danke für den Hinweis.


Folgen Sie uns
       


Yakuza - Like a Dragon - Gameplay (Xbox Series X)

Im Video zeigt Golem.de, wie Yakuza - Like a Dragon auf der Xbox Series X aussieht.

Yakuza - Like a Dragon - Gameplay (Xbox Series X) Video aufrufen
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Ausprobiert: Meine erste Strafgebühr bei Free Now
    Ausprobiert
    Meine erste Strafgebühr bei Free Now

    Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
    Ein Praxistest von Achim Sawall

    1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
    2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

    Yakuza und Dirt 5 angespielt: Xbox Series X mit Rotlicht und Rennstrecke
    Yakuza und Dirt 5 angespielt
    Xbox Series X mit Rotlicht und Rennstrecke

    Abenteuer im Rotlichtviertel von Yakuza und Motorsport in Dirt 5: Golem.de konnte zwei Starttitel der Xbox Series X ausprobieren.
    Von Peter Steinlechner

    1. Next-Gen GUI der PS5 mit höherer Auflösung als Xbox Series X/S
    2. Xbox Series X Zwei Wochen mit Next-Gen auf dem Schreibtisch
    3. Next-Gen PS5 und neue Xbox wollen Spieleklassiker aufhübschen

      •  /