企鹅Turla（Penquin Turla）：史上最复杂的APT间谍软件

卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种，它的主要攻击目标是Linux系统，因此又被叫做企鹅Turla（Penquin Turla）。当该恶意程序已经上传并出现在在线安全检测平台上之后，研究人员才注意到它并开始调查。

史上最复杂的APT（高级持续性威胁）间谍软件

间谍软件是恶意程序的一种，能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能力；使用用户的系统资源，包括安装在他们电脑上的程序；或者搜集、使用、并散播用户的个人信息或敏感信息。鉴于间谍软件的巨大危害，一旦它入侵政府或军方的计算机，其后果将不堪设想。

Turla被认为是历史上最复杂的APT（高级持续性威胁）间谍软件。

Turla由BAE的研究员首次发现，研究人员认为它由俄罗斯网络专家开发，并且很可能是莫斯科政府网络武器（cyber weapon）计划的一部分。安全研究人员还发现该恶意程序与之前的Uroburos病毒（一个用于网络间谍活动的恶意程序）存在关联。

走近企鹅Turla

企鹅Turla程序由C语言和C++语言编写，由于连接了多个库，所以它的文件体积明显增大。攻击者除去了带有符号信息的代码，这大大增加了安全专家分析该程序的难度。和其他Turla变种一样，企鹅Turla也可以隐藏网络通信，任意执行远程命令和远程控制受害者机器。

企鹅Turla大量使用了开源的静态链接库，包括glibc2.3.2、openssl v0.9.6 和libpcap。企鹅Turla并不需要使用root权限即可以执行攻击命令，同时难以被发现，不会被Linux上管理工具（命令）netstat探测到。也就是说，即使用户在启动该程序时限制了系统权限，企鹅Turla仍然可以继续截断数据包和执行恶意操作。

除此之外，研究人员还在Penquin Turla中发现了硬编码的控制与命令（C&C）服务器地址——news-bbc.podzone[.]org。

不断增强的新变种

企鹅Turla这种Turla新变种集成了当前各种资源，攻击者们对其添加了新的功能，除去了旧版本中的老代码。因此其攻击能力也有所增强。

安全研究人员们指出，当前肯定还有很多的Turla地下工具还没有被发现。这些恶意程序正被政府资助的攻击者们用于窃取世界各国政府机构、大使馆、军方、研究机构和制药公司的机密信息。

[参考来源securityaffairs，转载请注明来自Freebuf.COM]