Turla, una APT de espionaje para Linux
Investigadores de Kaspersky Lab han descubierto un troyano para Linux tan potente y sigiloso que puede permanecer oculto durante meses en cualquier equipo. El código de este software presenta fragmentos que lo relacionan directamente con Turla, un APT (Advanced Persistent Threat) descubierto el pasado mes de agosto por Kaspersky Lab y Symantec.
Según las investigaciones de estas dos empresas, las herramientas Turla han estado siendo utilizadas durante por lo menos cuatro años para espiar tanto a gobiernos, instituciones y embajadas como a empresas, investigadores y centros educativos en más de 45 países. Hasta ahora se creía que este malware había estado infectando exclusivamente a equipos con Windows, pero ahora parece que sus desconocidos creadores también han estado haciendo de las suyas en Linux.
Según los investigadores, el troyano pasaba desapercibido manteniéndose inactivo hasta que los atacantes lo despertaban mandándole al equipo una serie de paquetes con una secuencia especial de números. Una vez activado, el troyano era capaz de interceptar el tráfico de datos y ejecutar comandos sin necesidad de privilegios de administrador del sistema.
Pese a haber sido identificado, el código de este malware es tan sofisticado que muchos de sus componentes y utilidades aun siguen siendo un misterio, como también lo es la identidad de las personas que lo han estado utilizando, aunque desde Symantec se especula con la posibilidad de que estén siendo apoyadas por alguna nación o estado.
De momento sólo se han encontrado un par de ejemplares de Turla adaptados a Linux, por lo que no es necesario que cunda el pánico entre sus usuarios. Aun así, tanto esto troyano como el de Regin del que os hablamos a finales del mes pasado apuntan a un nuevo tipo de espionaje industrial y gubernamental del que estamos seguros que seguiremos teniendo noticias durante los próximos meses y años.
Fuente: Genbeta
Según las investigaciones de estas dos empresas, las herramientas Turla han estado siendo utilizadas durante por lo menos cuatro años para espiar tanto a gobiernos, instituciones y embajadas como a empresas, investigadores y centros educativos en más de 45 países. Hasta ahora se creía que este malware había estado infectando exclusivamente a equipos con Windows, pero ahora parece que sus desconocidos creadores también han estado haciendo de las suyas en Linux.
Según los investigadores, el troyano pasaba desapercibido manteniéndose inactivo hasta que los atacantes lo despertaban mandándole al equipo una serie de paquetes con una secuencia especial de números. Una vez activado, el troyano era capaz de interceptar el tráfico de datos y ejecutar comandos sin necesidad de privilegios de administrador del sistema.
Pese a haber sido identificado, el código de este malware es tan sofisticado que muchos de sus componentes y utilidades aun siguen siendo un misterio, como también lo es la identidad de las personas que lo han estado utilizando, aunque desde Symantec se especula con la posibilidad de que estén siendo apoyadas por alguna nación o estado.
De momento sólo se han encontrado un par de ejemplares de Turla adaptados a Linux, por lo que no es necesario que cunda el pánico entre sus usuarios. Aun así, tanto esto troyano como el de Regin del que os hablamos a finales del mes pasado apuntan a un nuevo tipo de espionaje industrial y gubernamental del que estamos seguros que seguiremos teniendo noticias durante los próximos meses y años.
Fuente: Genbeta
Para Cristian:
ResponderBorrarPuntualmente, en plataformas GNU/Linux, y partiendo de la base que ningun sistema es 100% seguro, solo updateando e instalando desde los repositorios, siempre y cuando estos no esten comprometidos, es baja la posibilidad de infeccion?.
Esto parece ser una movida mas grande que de unos "chicos" programando amenazas de este tipo.
Gracias por armar y mantener el blog, esta muy bueno!.
Efectivamente las APT se caracterizan por no ser un juego de niños y ultimamente casi todos los gobiernos han sido victima de algunos.
BorrarEn una organizacion nada es tan facil como actualizar-y-olvidar, las infraestructuas actuales son muy complejas y eso hace q se más facil encontrar un punto debil en donde alguien con conocimientos y recursos pueda infiltrarse para exfiltrar informacion.
Cristian
Gracias por responder Cristian!.
BorrarEntiendo que las infraestructuras son complejas.
El aumento de vectores de ataque lo genera, ademmas del problema que ningun software es perfecto, la cantidad de "modulos" que lo componen, y por tanto cada uno de ellos genera un eventual "agujero de seguridad".
Es esta apreciacion correcta?.
Slds!.
Así es!
BorrarCristian
Me alegro al menos entenderlo con palabras lisas ya que no soy un profesional en la materia :)
BorrarCordiales saludos.