Lang verborgen Linux-malware ontdekt
Veiligheidsonderzoekers hebben twee Linux-varianten van een complex stukje Windows-malware ontdekt. Die was eerder al verantwoordelijk voor inbraken in ambassades, militaire instellingen en farmaceutische bedrijven.
De Windows-familie werd eerder dit jaar Turla gedoopt door onderzoekers bij Kaspersky en Symantec. Waarschijnlijk is ze door de Russische overheid gemaakt.
[related_article id=”161920″]
Turla heeft meer dan honderd computers in 45 landen besmet, zegt Kaspersky. Onder meer via vervalste pdf-bestanden werden pc-gebruikers aangevallen. De malware gebruikte minstens twee zeroday-exploits in Windows en Adobe Reader.
De nieuwe Linux-varianten gaven de hackers een nog bredere toegang tot de computers van de slachtoffers, aldus Kaspersky. Waarschijnlijk draaide de kwaadaardige software al jarenlang op de besmette systemen zonder dat iemand iets in de gaten had.
Oude proof-of-concept
De malware kan de controle over computers overnemen, zelf code uitvoeren op afstand en ongezien via het netwerk communiceren. Het command-and-control-domein (de pc’s die de malware van op afstand "besturen") is hetzelfde als bij de Windows-variant.
De Linux-malware is wel gebaseerd op een oude en publiek beschikbare proof-of-concept die cd00r.c heet en gemaakt werd door hackers van phenoelit.org. Met cd00r.c moest het mogelijk worden om ongemerkt open netwerkpoorten in de gaten te houden, zonder dat de gebruiker dat door heeft. Phenoelit.org merkte toen al op dat de software zowel voor verdedigings- als aanvalsdoeleinden kon gebruikt worden.
Turla is een van de weinige stukken malware die hoogstwaarschijnlijk door een overheid is gemaakt. De VS wordt ervan verdacht achter Stuxnet, Flame en het pas ontdekte Regin te zitten. Rusland zou eerder al Red October hebben geproduceerd en Spanje The Mask.
Verantwoordelijkheid van beveiligingsbedrijven
Beveiligingsbedrijven liggen onder vuur omdat ze geen informatie hebben vrijgegeven over Regin, hoewel ze de software al jarenlang kenden. Symantec gaf uiteindelijk een rapport vrij op een zondag, maar waarschijnlijk vooral omdat de website The Intercept het bestaan ervan de volgende dag zou onthullen aan het grote publiek.
Nog een dozijn collega"s
Security-veteraan Bruce Schneier vindt dat antivirusbedrijven de verantwoordelijkheid hebben om te zeggen wat ze weten over overheidsmalware, ook al kennen ze niet het hele plaatje.
Volgens Schneier zijn de bedrijven op de hoogte van zeker nog een dozijn andere stukken malware die door regeringen zijn gemaakt.
Veiligheidsonderzoekers hebben twee Linux-varianten van een complex stukje Windows-malware ontdekt. Die was eerder al verantwoordelijk voor inbraken in ambassades, militaire instellingen en farmaceutische bedrijven.
De Windows-familie werd eerder dit jaar Turla gedoopt door onderzoekers bij Kaspersky en Symantec. Waarschijnlijk is ze door de Russische overheid gemaakt.
[related_article id=”161920″]
Turla heeft meer dan honderd computers in 45 landen besmet, zegt Kaspersky. Onder meer via vervalste pdf-bestanden werden pc-gebruikers aangevallen. De malware gebruikte minstens twee zeroday-exploits in Windows en Adobe Reader.
De nieuwe Linux-varianten gaven de hackers een nog bredere toegang tot de computers van de slachtoffers, aldus Kaspersky. Waarschijnlijk draaide de kwaadaardige software al jarenlang op de besmette systemen zonder dat iemand iets in de gaten had.
Oude proof-of-concept
De malware kan de controle over computers overnemen, zelf code uitvoeren op afstand en ongezien via het netwerk communiceren. Het command-and-control-domein (de pc’s die de malware van op afstand "besturen") is hetzelfde als bij de Windows-variant.
De Linux-malware is wel gebaseerd op een oude en publiek beschikbare proof-of-concept die cd00r.c heet en gemaakt werd door hackers van phenoelit.org. Met cd00r.c moest het mogelijk worden om ongemerkt open netwerkpoorten in de gaten te houden, zonder dat de gebruiker dat door heeft. Phenoelit.org merkte toen al op dat de software zowel voor verdedigings- als aanvalsdoeleinden kon gebruikt worden.
Turla is een van de weinige stukken malware die hoogstwaarschijnlijk door een overheid is gemaakt. De VS wordt ervan verdacht achter Stuxnet, Flame en het pas ontdekte Regin te zitten. Rusland zou eerder al Red October hebben geproduceerd en Spanje The Mask.
Verantwoordelijkheid van beveiligingsbedrijven
Beveiligingsbedrijven liggen onder vuur omdat ze geen informatie hebben vrijgegeven over Regin, hoewel ze de software al jarenlang kenden. Symantec gaf uiteindelijk een rapport vrij op een zondag, maar waarschijnlijk vooral omdat de website The Intercept het bestaan ervan de volgende dag zou onthullen aan het grote publiek.
Nog een dozijn collega"s
Security-veteraan Bruce Schneier vindt dat antivirusbedrijven de verantwoordelijkheid hebben om te zeggen wat ze weten over overheidsmalware, ook al kennen ze niet het hele plaatje.
Volgens Schneier zijn de bedrijven op de hoogte van zeker nog een dozijn andere stukken malware die door regeringen zijn gemaakt.