Scovato trojan per Linux senza privilegi di root

Kaspersky ha individuato Linux Turla, un trojan che colpisce i sistemi basati su Linux e che apparentemente si può eseguire anche senza privilegi di Root.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Kasperksy ha individuato Turla, un trojan che colpisce i sistemi Linux e che come Regin, Stuxnet e altri ha le caratteristiche di una cyber arma. Vale a dire che si tratta di un software molto sofisticato, quasi impossibile da individuare, difficile da comprendere ed estremamente complesso. In questi casi, di solito, si pensa che solo uno stato abbia le risorse necessarie per fare un lavoro simile.

Turla è stato infatti classificato APT (Advanced Persistent Threat), cioè una "minaccia avanzata persistente". È in circolazione da almeno quattro anni ed è stata usato per colpire utenti in almeno 45 paesi - tanto in istituzioni pubbliche quanto in società private.

Virustotal

Kurt Baumgartner e Costin Raiu di Kaspersky scrivono che con Turla per Linux emerge "un pezzo sconosciuto di un puzzle più grande" - riferendosi a un'operazione di spionaggio già nota, ma con molti elementi ancora misteriosi.

Turla per Linux è scritto in C/C++, viene definito una "backdoor furtiva" ed è progettato per restare invisibile agli strumenti di analisi più comuni. A un certo punto si attiva, quando riceve un comando specifico tramite il sistema di controllo. A quel punto la minaccia è simile a quelle già viste per Windows per quanto riguarda il possibile furto d'informazioni.

"Usa tecniche che non richiedono permessi di root", continua il post su SecureList, "il che permette di eseguirlo più liberamente sugli host vittima. Anche se avviato da un utente regolare con privilegi limitati, può continuare a intercettare i pacchetti in entrata ed eseguire comandi". In gran parte comunque Linux Turla è un mistero, anche perché il codice esaminato sembra vecchio e ormai obsoleto rispetto all'ultima versione individuata.

Linux - Tux

Gli amministratori di sistemi Linux che volessero controllare la sicurezza possono esaminare il traffico in uscita alla ricerca di connessioni verso news-bbc.podzone.org, oppure 80.248.65.183. Questi, scrive Dan Goodin su Ars Technica, sono gli indirizzi dei server CC integrati in Turla Linux. È tuttavia improbabile che una macchina qualsiasi sia infetta, visto che si tratta di strumenti progettati per colpire bersagli specifici.

I ricercatori Kaspersky, intervistati da Goodin, hanno spiegato che Linux Turla è parte di una campagna di spionaggio molto grande e che questo trojan per Linux potrebbe essere solo la punta dell'iceberg