Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Malware: Turla gibt es auch für Linux

Die Cyberspionagekampagne gegen Regierungen und das Militär in Europa und dem Mittleren Osten wurde auch mit Hilfe von Malware durchgeführt, die unter Linux läuft. Auch dort ist sie sehr schwer aufzuspüren.
/ Jörg Thoma
8 Kommentare News folgen (öffnet im neuen Fenster)
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen. (Bild: Screenshot Golem.de)
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen. Bild: Screenshot Golem.de

Die als Turla bekanntgewordene Cyberspionagekampagne hat eine weitere, bislang unbekannte Komponente bekommen: Zusätzlich zu der verwendeten Malware für Windows gibt es auch eine für Linux. Sie wurde erst vor wenigen Tagen entdeckt und jetzt vom IT-Sicherheitsunternehmen Kaspersky analysiert(öffnet im neuen Fenster) .

Die Malware erweitere das Einsatzgebiet von Turla enorm, schreibt Kaspersky. Denn die Schadsoftware laufe fast unbemerkt auf Linux-Servern und erlaube dessen Fernsteuerung sowie das Einschleusen von weiterer Schadsoftware, etwa um weitere Rechner im Netzwerk zu infizieren.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Business Partner (d/w/m) Industrie- und Handelsunion Dr. Wolfgang Boettger GmbH & Co. KG, Berlin,Homeoffice (öffnet im neuen Fenster)
Embedded C/C++ Software-Entwickler für industrielle Messtechnikprodukte (m/w/d) Delphin Technology AG, Bergisch Gladbach (öffnet im neuen Fenster)
Profi (m/w/d) für XML-basierte, systemgestützte Workflows Verlag C.H.BECK, München-Schwabing-Freimann (öffnet im neuen Fenster)
Consultant Informationssicherheit (m/w/d) intersoft consulting services AG, Hamburg (öffnet im neuen Fenster)
Mitarbeiterin / Mitarbeiter im Projektmanagement (m/w/d) - Hauptabteilung IT Berufsgenossenschaft Handel und Warenlogistik, Bonn (öffnet im neuen Fenster)
Leiter (m/w/d) Kundenbetreuung Prodinger Organisation GmbH & Co. KG, Erfurt (öffnet im neuen Fenster)
IT-Projektbetreuer mit Schwerpunkt Künstliche Intelligenz (m/w/d) Kessler & Co. GmbH & Co.KG, Abtsgmünd (öffnet im neuen Fenster)
Lösungsarchitekt/in (m/w/d) IT & Digitalisierung Erzbistum Köln Generalvikariat, Köln (öffnet im neuen Fenster)

Alles ist in einer Datei

Mit herkömmlichen Mitteln lasse sich die Malware nur schwer aufspüren, schreiben die Datenexperten bei Kaspersky. Obwohl die Malware über das Netzwerk von Angreifern gesteuert wird, ist es beispielsweise für Netstat weitgehend unsichtbar. Außerdem sind sämtliche benötigten Werkzeuge in die Binärdatei hineinkompiliert worden samt Parameter, so dass keine Konfigurationsdatei benötigt wird. Dadurch lässt sich die Malware auch nicht an Hand von Zeichenketten aufspüren.

Außerdem wurden beim Kompilieren die Symbole entfernt, was die Analyse der Software zusätzlich erschwert. Kaspersky hat jedoch entdeckt, dass die Bibliotheken Glibc, Openssl und Libpcap in der Binärdatei statisch verlinkt wurden und somit enthalten sind. Als Vorlage soll die bereits im Jahr 2000 entwickelte Proof-of-Concept-Malware Cdoor.c(öffnet im neuen Fenster) dienen.

Aktiviert durch magische Pakete

Damit der Trojaner überhaupt aktiv wird, schickt der Angreifer Datenpakete an den Server, die vom Pcap-Modul im Trojaner abgefangen werden. Sind in den Datenpaketen bestimmte Zeichenketten enthalten, wird der Trojaner aktiv und öffnet eine Verbindung zu einem C&C-Server, um weitere Befehle zu empfangen. Das funktioniert auch, wenn der Trojaner nur mit Benutzerprivilegien gestartet wird.

In dem Turla-Trojaner ist eine fest codierte IP-Adresse, die zu der Domain news-bbc.podzone[.]org führt, die in Afrika registriert ist. Daran lässt sich der Trojaner erkennen, wenn er aktiv ist. Administratoren können ihren Netzwerkverkehr nach Verbindungen zu der IP-Adresse 80.248.65.183 überprüfen. Anhand der Zeichenketten TREX_PID=%u und Remote VS is empty ! lässt sich die Malware ebenfalls aufspüren.

Zur Startseite 8 Kommentare

Relevante Themen

SoftwareToolsPolitikSecurityCybercrimeDatensicherheitMalware