Abo
  • Services:

Malware: Turla gibt es auch für Linux

Die Cyberspionagekampagne gegen Regierungen und das Militär in Europa und dem Mittleren Osten wurde auch mit Hilfe von Malware durchgeführt, die unter Linux läuft. Auch dort ist sie sehr schwer aufzuspüren.

Artikel veröffentlicht am ,
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen.
Ein Proof-of-Concept aus dem Jahr 2000 soll als Vorbild für die Turla-Malware für Linux dienen. (Bild: Screenshot Golem.de)

Die als Turla bekanntgewordene Cyberspionagekampagne hat eine weitere, bislang unbekannte Komponente bekommen: Zusätzlich zu der verwendeten Malware für Windows gibt es auch eine für Linux. Sie wurde erst vor wenigen Tagen entdeckt und jetzt vom IT-Sicherheitsunternehmen Kaspersky analysiert.

Stellenmarkt
  1. BWI GmbH, Bonn, Strausberg, Rheinbach
  2. über duerenhoff GmbH, Raum Wiesloch

Die Malware erweitere das Einsatzgebiet von Turla enorm, schreibt Kaspersky. Denn die Schadsoftware laufe fast unbemerkt auf Linux-Servern und erlaube dessen Fernsteuerung sowie das Einschleusen von weiterer Schadsoftware, etwa um weitere Rechner im Netzwerk zu infizieren.

Alles ist in einer Datei

Mit herkömmlichen Mitteln lasse sich die Malware nur schwer aufspüren, schreiben die Datenexperten bei Kaspersky. Obwohl die Malware über das Netzwerk von Angreifern gesteuert wird, ist es beispielsweise für Netstat weitgehend unsichtbar. Außerdem sind sämtliche benötigten Werkzeuge in die Binärdatei hineinkompiliert worden samt Parameter, so dass keine Konfigurationsdatei benötigt wird. Dadurch lässt sich die Malware auch nicht an Hand von Zeichenketten aufspüren.

Außerdem wurden beim Kompilieren die Symbole entfernt, was die Analyse der Software zusätzlich erschwert. Kaspersky hat jedoch entdeckt, dass die Bibliotheken Glibc, Openssl und Libpcap in der Binärdatei statisch verlinkt wurden und somit enthalten sind. Als Vorlage soll die bereits im Jahr 2000 entwickelte Proof-of-Concept-Malware Cdoor.c dienen.

Aktiviert durch magische Pakete

Damit der Trojaner überhaupt aktiv wird, schickt der Angreifer Datenpakete an den Server, die vom Pcap-Modul im Trojaner abgefangen werden. Sind in den Datenpaketen bestimmte Zeichenketten enthalten, wird der Trojaner aktiv und öffnet eine Verbindung zu einem C&C-Server, um weitere Befehle zu empfangen. Das funktioniert auch, wenn der Trojaner nur mit Benutzerprivilegien gestartet wird.

In dem Turla-Trojaner ist eine fest codierte IP-Adresse, die zu der Domain news-bbc.podzone[.]org führt, die in Afrika registriert ist. Daran lässt sich der Trojaner erkennen, wenn er aktiv ist. Administratoren können ihren Netzwerkverkehr nach Verbindungen zu der IP-Adresse 80.248.65.183 überprüfen. Anhand der Zeichenketten TREX_PID=%u und Remote VS is empty ! lässt sich die Malware ebenfalls aufspüren.



Anzeige
Top-Angebote
  1. 389€ (Vergleichspreis 488€)
  2. 99,99€ + USK-18-Versand (Die Bestellbarkeit könnte sich jederzeit ändern bzw. kurzfristig...
  3. 375€ (Vergleichspreis Smartphone je nach Farbe ca. 405-420€. Speicherkarte über 30€)
  4. (u. a. Xbox Live Gold 12 Monate für 38,49€ und Monster Hunter World Deluxe Edition für 48,49€)

Anonymer Nutzer 11. Dez 2014

man kann es nicht mit sicherheit, da es bugs auch im kernel gibt.

Anonymer Nutzer 11. Dez 2014

das ding braucht fix root rechte. entweder, indem man es als root startet, oder durch...

jt (Golem.de) 11. Dez 2014

SorrydieLeertastewarkaputt. Jetzt ist der Fehler behoben. Danke für den Hinweis.


Folgen Sie uns
       


BMW stellt seinen Formel-E-Rennwagen vor - Bericht

BMW setzt auf elektrischen Motorsport: Die Münchener treten als zweiter deutscher Autohersteller in der Rennserie Formel E an. BMW hat in München das Fahrzeug für die Saison 2018/19 vorgestellt.

BMW stellt seinen Formel-E-Rennwagen vor - Bericht Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
    Elektroroller-Verleih Coup
    Zum Laden in den Keller gehen

    Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
    Ein Bericht von Friedhelm Greis

    1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
    2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
    3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    Apple: iPhone Xs und iPhone Xs Max sind bierdicht
    Apple
    iPhone Xs und iPhone Xs Max sind bierdicht

    Apple verdoppelt das iPhone X. Das Modell iPhone Xs mit 5,8 Zoll großem Display ist der Nachfolger des iPhone X und das iPhone Xs Max ist ein Plus-Modell mit 6,5 Zoll großem Display. Die Gehäuse sind sogar salzwasserfest und überstehen auch Bäder in anderen Flüssigkeiten.

    1. Apple iPhone 3GS wird in Südkorea wieder verkauft
    2. Drosselung beim iPhone Apple zahlt Kunden Geld für Akkutausch zurück
    3. NFC Yubikeys arbeiten ab sofort mit dem iPhone zusammen

      •  /