image

Onderzoekers ontdekken spionagevirus voor Linux

dinsdag 9 december 2014, 10:45 door Redactie, 22 reacties

Onderzoekers van het Russische anti-virusbedrijf Kaspersky Lab hebben een spionagevirus voor Linux ontdekt dat mogelijk jaren onopgemerkt bleef, hoewel voor dit laatste nog geen bewijs is. Het gaat om een variant van de Turla-malware, ook bekend als Snake of Urburos, waarvan alle andere bekende exemplaren alleen voor Windows zijn ontwikkeld.

De onderzoekers wisten dat er ook Linux-varianten van Turla bestonden maar hadden die nog nooit in het "wild" aangetroffen, tot nu toe. Turla is volgens Kaspersky Lab één van de meest geavanceerde spionagecampagnes ooit ontdekt. Onder andere het Belgische Ministerie van Buitenlandse Zaken zou het slachtoffer van de campagne zijn geworden. De nu ontdekte Turla-variant ondersteunt Linux zodat er bij aangevallen organisaties meer systemen kunnen worden geïnfecteerd.

"We vermoeden dat dit onderdeel jaren bij een aangevallen organisatie actief was, maar hebben geen concrete gegevens om dit te bewijzen", aldus Costin Raiu van Kaspersky Lab. Via de malware kan een aanvaller met besmette systemen communiceren en willekeurige code uitvoeren. Daarbij hoeft Turla geen verhoogde rechten te hebben. Ook is de malware niet via netstat te vinden, een tool die systeembeheerders gebruiken om een overzicht van geopende netwerkverbindingen te krijgen.

"Het gebruikt technieken die geen roottoegang vereisen, waardoor het zich vrijer op het systeem van een slachtoffer kan bewegen. Zelfs als het door een reguliere gebruiker met beperkte rechten wordt gestart kan het inkomende pakketten blijven onderscheppen en commando's op het systeem uitvoeren", aldus Raiu. Hij merkt op dat de Linux-malware vooral op andere publieke broncode is gebaseerd, waarbij de aanvallers zelf een aantal zaken hebben toegevoegd. Hoe de malware zich precies verspreidt wordt echter niet gemeld.

Reacties (22)
09-12-2014, 11:09 door ph-cofi
Hoe zou je dit voor elkaar moeten krijgen, als je onopvallend zonder gebruikersrechten code wil kunnen uitvoeren? Zonder dat de Linux community het in de gaten heeft. Gaat richting firmware van netwerkkaart oid? Verborgen processen in een kernel?
09-12-2014, 11:11 door potshot
oooops...
09-12-2014, 11:15 door Anoniem
Door ph-cofi: Hoe zou je dit voor elkaar moeten krijgen, als je onopvallend zonder gebruikersrechten code wil kunnen uitvoeren? Zonder dat de Linux community het in de gaten heeft. Gaat richting firmware van netwerkkaart oid? Verborgen processen in een kernel?
Gerichte aanvallen + open source betekent niet dat code ook daadwerkelijk bekeken wordt!
09-12-2014, 11:34 door Mysterio
De community wordt overschat. In 1999 werd gesteld dat "given enough eyeballs, all bugs are shallow." Dat principe werkt namelijk alleen als er veel ogen constant naar alle code kijken. Daarnaast kan een wijziging 'overruled' of overschreven worden door de oorspronkelijke ontwikkelaars. Iedereen neemt aan dat iedereen er naar kijkt terwijl er geen controle of eigenaarschap is waardoor je in feite niet weet wie waar naar kijkt en wie waar welke verantwoordelijkheid pakt.

Met heartbleed was de conclusie dat de ontwikkelaar en de reviewer het hadden gemist en de community onvoldoende de ogen heeft gericht op de code waardoor het onopgemerkt is gebleven. Anno 2014 is de code complexer en meer geworden waardoor er meer specialisme in de community nodig is om grondig de code te kunnen reviewen.

We weten dat organisaties als de NSA ontwikkelaars en reviewers in de community hebben zitten die uiteraard waken over hun eigen pakketten.

Uit heartbleed is wel gebleken dat de reactiesnelheid van de community ongekend is. Als er een probleem is dan is er een legioen aan ontwikkelaars en testers die meteen aan het werk gaan. Een incident als deze malware zal zeker door de community opgepakt worden en in de toekomst zal er beter op gelet worden.

Echter, zoals altijd, geen garanties.

Dan is er nog een punt dat niet alle software die op open source draait ook zelf open source is.
09-12-2014, 11:38 door Anoniem
Internet begint een zooitje te worden !
09-12-2014, 11:45 door potshot
Door Mysterio: De community wordt overschat. In 1999 werd gesteld dat "given enough eyeballs, all bugs are shallow." Dat principe werkt namelijk alleen als er veel ogen constant naar alle code kijken. Daarnaast kan een wijziging 'overruled' of overschreven worden door de oorspronkelijke ontwikkelaars. Iedereen neemt aan dat iedereen er naar kijkt terwijl er geen controle of eigenaarschap is waardoor je in feite niet weet wie waar naar kijkt en wie waar welke verantwoordelijkheid pakt.

Met heartbleed was de conclusie dat de ontwikkelaar en de reviewer het hadden gemist en de community onvoldoende de ogen heeft gericht op de code waardoor het onopgemerkt is gebleven. Anno 2014 is de code complexer en meer geworden waardoor er meer specialisme in de community nodig is om grondig de code te kunnen reviewen.

We weten dat organisaties als de NSA ontwikkelaars en reviewers in de community hebben zitten die uiteraard waken over hun eigen pakketten.

Uit heartbleed is wel gebleken dat de reactiesnelheid van de community ongekend is. Als er een probleem is dan is er een legioen aan ontwikkelaars en testers die meteen aan het werk gaan. Een incident als deze malware zal zeker door de community opgepakt worden en in de toekomst zal er beter op gelet worden.

Echter, zoals altijd, geen garanties.

Dan is er nog een punt dat niet alle software die op open source draait ook zelf open source is.

bij windows zou je dat gewoon arrogantie noemen..
09-12-2014, 11:56 door Mysterio
Door potshot:
Door Mysterio: (..)

bij windows zou je dat gewoon arrogantie noemen..
Wat noem ik (of we) wanneer bij Windows arrogantie?
09-12-2014, 12:52 door Anoniem
Begrijp me niet verkeerd, maar is dit niet alleen maar iets roepen om angst te zaaien zodat de virusbouwers een nieuwe markt aan kunnen boren? Nee, niet voor de desktop, want het aantal Linux-gebruikers op de desktop zit ergens tussen de 1 en de 2% wereldwijd. Maar op servergebied is dit natuurlijk wèl een enorme markt.

Waarom ik dit zeg? Omdat die meneer Costin Raiu van Kaspersky Lab het niet zeker weet of hetgeen ze beweren ook waar is. Dat klinkt als angstzaaierij.

En het is al eerder gezegd: een virus onder Linux zou wel kunnen, mits dat virus zichzelf toegang kan verschaffen via verhoogde rechten via de gebruiker zélf. Een virus kan - zoals dat op Windows het geval is - zichzelf niet uitvoerbaar maken zonder tussenkomst van de gebruiker c.q. administrator. Het enige denkbare scenario zou dan zijn dat iemand achter het toetsenbord het bestand uitvoerbaar moet maken alvorens het zijn werk kan doen.

Ik weet het niet hoor. Ik vind het allemaal een beetje een ongeloofwaardig verhaal. Uiteraard niet dat het onmogelijk is, maar wèl dat zoiets via een anti-virusbouwer naar buiten gebracht wordt. Het lijkt wel op van: "Ja beste Linuxgebruikers, ook jullie lopen gevaar. Maar niet gevreesd, want wij zullen er alles aan doen om ook jullie te gaan beschermen. Koop ons product en jullie zijn verzekerd van weer een veilige computerervaring!"

Meer info over hoe zoiets werkt in Linux (in dit geval alleen even beschreven met alleen Debian-achtige systemen. Maar dit verhaal is ook van toepassing op andere, niet-Debian gerelateerde systemen: https://sites.google.com/site/computertip/veiligheid#TOC-Het-volledige-verhaal
09-12-2014, 13:18 door Anoniem
Gebaseerd op "vermoedens", dus ze weten het niet zeker? Zwaar gevalletje FUD: http://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt

Kapersky Lab heeft er alle belang bij om angst en onzekerheid te zaaien. Ook hun schoorsteen moet blijven roken, hè? Want stel je toch eens voor dat ze alle Linuxservers in de hele wereld mochten uitrusten met hun software.... dat zou miljarden opleveren.

Kort samengevat: onzinnig verhaal, ongeloofwaardig, en het feit dat een virus onder Linux zichzelf rechten kan doen toekennen is volstrekt onwaar. Mensen die Linux gebruiken weten dat zelf ook dat de gebruiker expliciet een bestand toestemming moet geven om uitvoerbaar te worden. Anders gaat het feest niet door.

Jammer Kapersky.... nice try! Maar we trappen er niet in!
09-12-2014, 14:47 door Anoniem
het resultaat van de 'many eyeballs' is simpelweg niet absoluut. De gemiddelde kwaliteit lijkt doorgaans wel hoger te liggen, maar het betekent niet dat er geen fouten voor komen.
09-12-2014, 21:51 door Anoniem
Het word tijd dat de overheid de controle terug neemt op het internet.
Alles goed certificeren, internet rijbewijs, dataretentie uitbreiden, alleen gecertificeerde besturingssystemen en netwerk apparatuur, etc.
09-12-2014, 22:14 door [Account Verwijderd] - Bijgewerkt: 09-12-2014, 22:14
[Verwijderd]
10-12-2014, 09:14 door ph-cofi
Toch wel hoor... De malware moet natuurlijk eerst een 'beginnetje' krijgen maar daarna is het feest.

Zie de link hieronder voor hoe Epic Turla eerder te werk ging (onder kopje The Epic Turla attacks):

http://securelist.com/analysis/publications/65545/the-epic-turla-operation/

Dat 'beginnetje' maken kan onder Linux natuurlijk net zo goed als onder Windows.[/quote]
Als ik dat document over Turla lees, dan denk ik dat het beginnetje op een Linux PC neerkomt op malware in Javascript of Java via een waterhole website (weer wat nieuws geleerd). De kwetsbaarheid van Adobe Reader en IEx versies zijn gelukkig niet van toepassing. En op een Linux PC een .scr of .exe starten is ook geen succes. Ik vraag me af of de code niet toch ergens een password nodig heeft om succesvol te zijn.

Er is vast nog meer aan de hand.
10-12-2014, 10:02 door [Account Verwijderd]
[Verwijderd]
10-12-2014, 10:29 door Anoniem
Door ph-cofi: Als ik dat document over Turla lees, dan denk ik dat het beginnetje op een Linux PC neerkomt op malware in Javascript of Java via een waterhole website (weer wat nieuws geleerd). De kwetsbaarheid van Adobe Reader en IEx versies zijn gelukkig niet van toepassing. En op een Linux PC een .scr of .exe starten is ook geen succes. Ik vraag me af of de code niet toch ergens een password nodig heeft om succesvol te zijn.

Er is vast nog meer aan de hand.
Waar lees je dat?

MD5 = 14ecd5e6fc8e501037b54ca263896a11 = 637.6 kb = HEUR:Backdoor.Linux.Turla.gen

General executable characteristics:
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, stripped

Statically linked libraries:
glibc2.3.2 - the GNU C library
openssl v0.9.6 - an older OpenSSL library
libpcap - tcpdump's network capture library

Hardcoded C&C, known Turla activity: news-bbc.podzone[.]org
The domain has the following pDNS IP: 80.248.65.183

.exe? .scr? Java? JS? Waterhole? Waar heb jij het over?
Wij hebben het over een module die specifiek gemaakt (grotendeels gejat) is voor Unix.


Juist mensen zoals jij.., die blind vertrouwen op een platform dat onschendbaar is omdat dat nu eenmaal vaak gezegd wordt.., zijn het grootste probleem van & voor de Nix-community.
Geloven is leuk, vertrouwen is prima, maar weten is beter.
10-12-2014, 13:48 door Anoniem
Costin Raiu is een van de weinigen bij Kaspersky waar je wel vertrouwen in kunt hebben (ik zeg dat niet zomaar, dat is gebaseerd op kennis van zijn persoonlijke historie).

Degenen die menen dat Linux onkwetsbaar is moeten vooral zichzelf laten nakijken, er is vast ergens een module "rationaliteit" uitgeschakeld. Gek dat de redactie mijn eerdere reactie niet heeft geplaatst. Ook last van vooringenomenheid?
10-12-2014, 15:17 door Anoniem
voor alle vlugge cowboys met hun 'ver plas' conclusies:

http://arstechnica.com/security/2014/12/powerful-highly-stealthy-linux-trojan-may-have-infected-victims-for-years/?comments=1&post=28093317

https://securelist.com/blog/research/67962/the-penquin-turla-2/
10-12-2014, 17:49 door Anoniem
Ik vraag mij af welk os deze hacker dan gebruikt om de malware te ontwikkelen. Het is toch dom voor woorden om je eigen os te beginnen hacken?! Zover ik weet is er alleen windows, mac en linux. Echt gaar, die hacker zou beter ook meehelpen met het onderzoeken van lekken dan zijn eigen os te hacken. We steken ons eigen huis toch ook niet zomaar in brand?
10-12-2014, 22:52 door Anoniem
Door Anoniem: Costin Raiu is een van de weinigen bij Kaspersky waar je wel vertrouwen in kunt hebben (ik zeg dat niet zomaar, dat is gebaseerd op kennis van zijn persoonlijke historie).

Degenen die menen dat Linux onkwetsbaar is moeten vooral zichzelf laten nakijken, er is vast ergens een module "rationaliteit" uitgeschakeld. Gek dat de redactie mijn eerdere reactie niet heeft geplaatst. Ook last van vooringenomenheid?

Niemand zegt hier dat Linux onkwetsbaar is. Wat wèl gezegd is dat het vanaf afstand heel lastig is om een virus uitvoerbaar te maken.

Zet het je niet aan het denken als er alleen gesproken wordt over vermoedens, zonder ook maar te komen met concrete aanwijzingen? Waarom roep je zoiets dan?

Laten we eerlijk zijn: als het zo makkelijk was om een exploit voor Linux te schrijven, dan zou dat allang gedaan zijn. En kom nu niet met van: "Ja, maar voor dat handjevol gebruikers die met Linux werken is dat helemaal niet interessant voor virusschrijvers!" Oh nee? Toch wel, want het gros van de servers draait Linux, dus er valt wel degelijk wat te halen. Om maar te zwijgen van de software die gedraaid wordt op bijvoorbeeld Wall Street, of NASA (om er maar even een aantal te noemen).

Wat kritischer naar mensen die er alle belang bij hebben om FUD te verspreiden, teneinde hun producten aan de man te brengen, zou ook niet verkeerd zijn. Ik zou dit verhaal veel meer geloven als dit vanuit ontwikkelaarshoek zou komen. En Kapersky heeft wel vaker dingen geroepen die niet kloppen, alleen maar om onzekerheid en angst te zaaien.

Dus ja... ik doe deze berichtgeving vooralsnog af als flauwekul....
15-12-2014, 11:35 door Anoniem
Omdat ik niet sterk ben in het gebruik van mijn Engels heb ik helaas weinig aan de links die jullie hier geven, dus wellicht begrijp ik het daarom niet helemaal. Volgens mij draait het om: WAAROM precies vermoedt Costin Raiu van Kaspersky iets? En waarom laten zij er niet een onafhankelijke of minder afhankelijke, partij naar kijken? Dat zou in hun voordeel kunnen zijn omdat ze geloofwaardiger kunnen worden als hun vermoeden door een onafhankelijke partij bevestigd wordt.
15-12-2014, 11:37 door JanAnoniem - Bijgewerkt: 15-12-2014, 11:39
Omdat ik niet sterk ben in het gebruik van mijn Engels heb ik helaas weinig aan de links die jullie hier geven, dus wellicht begrijp ik het daarom niet helemaal. Volgens mij draait het om: WAAROM precies vermoedt Costin Raiu van Kaspersky iets? En waarom laten zij er niet een onafhankelijke of minder afhankelijke, partij naar kijken? Dat zou in hun voordeel kunnen zijn omdat ze geloofwaardiger kunnen worden als hun vermoeden door een onafhankelijke partij bevestigd wordt.

P.S. Het zou mij niet verbazen, gezien de aard van deze wereld, als er een keer een bericht in de media verschijnt over een anti-virus bedrijf dat ZELF een virus verspreidt... of laat verspreiden.
15-12-2014, 19:51 door Anoniem
Het is een executable. Een doodgewone executable, die door iemand op het systeem moet worden gezet en dan moet worden uitgevoerd. Daar is niets raars aan. De executable krijgt ook niet op "magische" wijze meer rechten dan hij heeft, helaas voor Kaspersky laat de kernel dat niet toe. Zeker, je kunt als je een sufferd bent als 'root' werken en dan een programma opstarten wat je computer overneemt. Of een module in de kernel hangen met root rechten. Goh. Echt waar joh? Goh..


Dit riekt behoorlijk naar stemmingmakerij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.