Trojan Linux Pode Ter Infectado Vítimas Durante Anos
Durante vários anos muitas empresas e muitas instituições governamentais têm utilizado nos seus sistemas informáticos o sistema operativo GNU/Linux. As razões para esta aposta num sistema open source prendem-se com vários aspectos, dos quais se destacam a elevada performance, uma facilidade de personalização, robustez, estabilidade, segurança e outros atributos, como o preço.
Um dos grandes trunfos é sem dúvida a segurança, todos usam essa bandeira para justificar a aposta. Um grupo de investigadores descobriu um Trojan extremamente poderoso que poderá estar a ter acesso a dados confidenciais de governos e de empresas farmacêuticas, um pouco por todo o mundo. Tendo estes investigadores afirmado que este malware desconhecido representa uma parte do APT Turla divulgado pela Kaspersky Lab e pela Symantec em Agosto deste mesmo ano.
Com esta descoberta, os investigadores que pertencem à Kaspersky Lab, em Moscovo, afirmam que este malware poderá ter infectado muitos mais sistemas do que se teria pensado inicialmente, estando incluídas instituições governamentais, embaixadas, instituições militares, instituições educativas e até mesmo empresas farmacêuticas, tudo isto em mais de 45 países um pouco por todo o mundo, levando mesmo as empresas de segurança a pensar que estes cibercriminosos estarão a ter o apoio de alguma nação.
Segundo informações, este é um Trojan extremamente poderoso, sem precedentes, é “letal” como nenhum outro. Isto porque o malware consegue infectar tanto sistemas Windows como sistemas Linux através de um rootkitquase indetectável, não podendo ser identificado com o tradicional comando netstat.
Para se poder esconder, este malware fica “adormecido” até que os atacantes enviem um pacote que contém “magic numbers” nos seus números de sequência, podendo este malware permanecer assim escondido durante anos num computador, completamente indetectável. Além disto, caso este Trojan infecte alguma máquina, ele poderá executar comandos arbitrários mesmo que o utilizador não tenha privilégios root.
Isto diz-nos que mesmo que o utilizador tenha acesso limitado à sua máquina, este Trojan poderá ser inicializado na mesma forma. Sendo que depois do computador ser infectado, os cibercriminosos conseguem estabelecer comunicação com os seus servidores o que lhes permite a execução de comandos à sua escolha.
Este Trojan foi desenvolvido em C e C++ e contém bibliotecas previamente escritas, o que dá ao ficheiro malicioso auto-suficiência. De modo a que não seja possível fazer engenharia reversa, o código contém também muita “informação símbolo”.
Para os administradores de sistemas Linux que queiram verificar se os seus sistemas foram comprometidos, basta verificarem se existem ligações da sua máquina para o endereço 80.248.65.183, endereço este que pertence ao canal de comando e de controlo do Trojan.
Este Trojan com toda a certeza surpreendeu as empresas de segurança, pois as mesmas afirmam nunca terem visto um Trojan tão complexo, principalmente a conseguir atacar sistemas Linux.
Fonte: PplWare
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018
