Onderzoekers van het Russische anti-virusbedrijf Kaspersky Lab hebben een spionagevirus voor Linux ontdekt dat mogelijk jaren onopgemerkt bleef, hoewel voor dit laatste nog geen bewijs is. Het gaat om een variant van de Turla-malware, ook bekend als Snake of Urburos, waarvan alle andere bekende exemplaren alleen voor Windows zijn ontwikkeld.
De onderzoekers wisten dat er ook Linux-varianten van Turla bestonden maar hadden die nog nooit in het "wild" aangetroffen, tot nu toe. Turla is volgens Kaspersky Lab één van de meest geavanceerde spionagecampagnes ooit ontdekt. Onder andere het Belgische Ministerie van Buitenlandse Zaken zou het slachtoffer van de campagne zijn geworden. De nu ontdekte Turla-variant ondersteunt Linux zodat er bij aangevallen organisaties meer systemen kunnen worden geïnfecteerd.
"We vermoeden dat dit onderdeel jaren bij een aangevallen organisatie actief was, maar hebben geen concrete gegevens om dit te bewijzen", aldus Costin Raiu van Kaspersky Lab. Via de malware kan een aanvaller met besmette systemen communiceren en willekeurige code uitvoeren. Daarbij hoeft Turla geen verhoogde rechten te hebben. Ook is de malware niet via netstat te vinden, een tool die systeembeheerders gebruiken om een overzicht van geopende netwerkverbindingen te krijgen.
"Het gebruikt technieken die geen roottoegang vereisen, waardoor het zich vrijer op het systeem van een slachtoffer kan bewegen. Zelfs als het door een reguliere gebruiker met beperkte rechten wordt gestart kan het inkomende pakketten blijven onderscheppen en commando's op het systeem uitvoeren", aldus Raiu. Hij merkt op dat de Linux-malware vooral op andere publieke broncode is gebaseerd, waarbij de aanvallers zelf een aantal zaken hebben toegevoegd. Hoe de malware zich precies verspreidt wordt echter niet gemeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.