Een groep cyberspionnen die verantwoordelijk wordt gehouden voor aanvallen op de Belgische overheid, het Witte Huis en allerlei andere bedrijven, overheidsinstanties en instellingen in Europa en de Verenigde Staten heeft nieuwe malware ontwikkeld die ook over Linux-ondersteuning beschikt.
De groep wordt "Duke" genoemd en is al enkele jaren actief. Recentelijk werd er een nieuw malware-exemplaar van de groep ontdekt genaamd "Seaduke". Het gaat om een Trojaans paard dat ontwikkeld is om informatie te stelen en tegen een klein aantal waardevolle doelen wordt ingezet. Volgens zowel Symantec als Palo Alto Networks gaat het om zeer geraffineerde malware.
Het Finse F-Secure analyseerde de malware ook en zag dat de Trojan in Python is geschreven en zowel Windows als Linux ondersteunt. Volgens de virusbestrijder is Seaduke de eerste "cross-platform" malware van de Duke-groep. Het eerste dat opvalt is het gebruik van de populaire scripttaal Python. Eerdere malware van de cyberspionnen was in de programmeertalen C en C++ geschreven. Daarnaast blijkt de Python-code voor zowel Windows als Linux te zijn ontwikkeld. "We vermoeden daarom dat de Duke-groep dezelfde Python-code van Seaduke gebruikt om Linux-gebruikers aan te vallen", zegt onderzoeker Artturi Lehtio.
Lehtio laat tegenover Security.NL weten dat er nog geen aanvallen tegen Linux-gebruikers in het "wild" zijn aangetroffen. "Maar het is veilig om aan te nemen dat ze Linux-ondersteuning hebben toegevoegd om het ook te gebruiken", merkt hij op. De vraag blijft echter hoe Linux-gebruikers zouden worden aangevallen. De Duke-groep gebruikte bijvoorbeeld een grappig apenfilmpje om Windows-gebruikers aan te vallen, wat in werkelijkheid een exe-bestand was. Ook zijn er pdf-documenten met exploits voor lekken in Adobe Reader toegepast om computers met malware te infecteren.
Het toevoegen van Linux-ondersteuning aan malware is niet nieuw. Eerder dit jaar werd een andere groep cyberspionnen ontdekt die dit had gedaan. Deze groep besloot social engineering te gebruiken om Linux-gebruikers te infecteren. Aangevallen gebruikers kregen een malafide HTML5-plug-in aangeboden die in werkelijkheid spyware bleek te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.