企鹅Turla(Penquin Turla):史上最复杂的APT间谍软件

卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种,它的主要攻击目标是Linux系统,因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台上之后,研究人员才注意到它并开始调查。

史上最复杂的APT(高级持续性威胁)间谍软件

间谍软件是恶意程序的一种,能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。鉴于间谍软件的巨大危害,一旦它入侵政府或军方的计算机,其后果将不堪设想。

Turla被认为是历史上最复杂的APT(高级持续性威胁)间谍软件。

Turla由BAE的研究员首次发现,研究人员认为它由俄罗斯网络专家开发,并且很可能是莫斯科政府网络武器(cyber weapon)计划的一部分。安全研究人员还发现该恶意程序与之前的Uroburos病毒(一个用于网络间谍活动的恶意程序)存在关联。

走近企鹅Turla

企鹅Turla程序由C语言和C++语言编写,由于连接了多个库,所以它的文件体积明显增大。攻击者除去了带有符号信息的代码,这大大增加了安全专家分析该程序的难度。和其他Turla变种一样,企鹅Turla也可以隐藏网络通信,任意执行远程命令和远程控制受害者机器。

企鹅Turla大量使用了开源的静态链接库,包括glibc2.3.2、openssl v0.9.6 和libpcap。企鹅Turla并不需要使用root权限即可以执行攻击命令,同时难以被发现,不会被Linux上管理工具(命令)netstat探测到。也就是说,即使用户在启动该程序时限制了系统权限,企鹅Turla仍然可以继续截断数据包和执行恶意操作。

除此之外,研究人员还在Penquin Turla中发现了硬编码的控制与命令(C&C)服务器地址——news-bbc.podzone[.]org。

不断增强的新变种

企鹅Turla这种Turla新变种集成了当前各种资源,攻击者们对其添加了新的功能,除去了旧版本中的老代码。因此其攻击能力也有所增强。

安全研究人员们指出,当前肯定还有很多的Turla地下工具还没有被发现。这些恶意程序正被政府资助的攻击者们用于窃取世界各国政府机构、大使馆、军方、研究机构和制药公司的机密信息。

[参考来源securityaffairs,转载请注明来自Freebuf.COM]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-12-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员互动联盟

如何成为一个黑客?

很多人要成为高大上的黑客需要学习哪些基本功? 能盗取账号,能攻击服务器? 再牛的黑客起码是一个合格的程序员 所以说想成为黑客先成为合格的程序再说,说别的就是空谈...

53370
来自专栏FreeBuf

你可以用U盘黑掉一辆马自达

得益于三年来一系列的已知Bug,马自达汽车的MZD信息娱乐系统可以通过将U盘插入仪表板进行黑客入侵。 ? 这些Bug早在在2014年5月就被Mazda 3 R...

34660
来自专栏FreeBuf

走进科学:黑客叔叔带你玩转LED_Hacking

Hi,黑客叔叔又跟大家见面了! 上次的《走近科学:如何搞定各种各样的终端机》文章,看来不少小伙伴们都响应了,也晒了很多图给我,并且都没有造成破坏,而是提交给了负...

215100
来自专栏FreeBuf

浅析大规模生产网络的纵深防御架构

纵深防御这个在安全行业被用的很烂的词,乙方的顾问写方案时信手捏来,我想大家的理解可能并不一致。其实我比较赞同lake2用的“河防”以及数字公司用的“塔防”的概念...

40250
来自专栏我是极客人

IT业界 |关于IT业界的新闻,风向标

自王柏元的博客开通以来,笔者就不止一次地受到恶意注册、机器人发广告评论的骚扰。昨天收到一个广告评论,发现评论用户填写的网站IP和用户IP相同的,无疑,这说明这是...

13540
来自专栏华仔的技术笔记

App store审核标准

50070
来自专栏ytkah

微信漏洞视频收藏分享虽已暂停 绑定银行卡还需谨慎

  近日网友“路人甲”爆料微信存在重大隐私漏洞,该微信漏洞会导致用户通过微信发布视频的地址泄露,外部用户均可通过该地址访问这些视频,这些视频地址可能包含木马病毒...

38960
来自专栏BIT泽清

金融(借贷、理财等)软件审核3.2.1被拒处理方案

元旦过后好多金融(借贷、理财等)软件审核3.2.1(viii)错误,应该是金融审核的新规吧。(viii)用于金融交易、投资或资金管理的应用程序应来自执行此类服务...

34660
来自专栏程序员互动联盟

搞linux开发的能拿多少钱?

古人有个很恰当的比喻,无襄阳荆州不足以用武,无汉中则巴蜀不足以存险,无关中河南不能以豫居,形势使然也。操作系统亦是如此:无Linux,操作系统不能以服务器自居。...

45180
来自专栏数据猿

金融科技&大数据产品推荐:BIGDAF——专业的Hadoop大数据安全防火墙

BIGDAF是国内第一个网关级Hadoop大数据安全防火墙,也是目前唯一通过公安部认证的Hadoop安全防护产品,具备“软件-硬件-云”多样化产品形态 官网 |...

39660

扫码关注云+社区

领取腾讯云代金券