Kyseessä on osa suurempaa vakoilukampanjaa, joka on muilta osin Windows-pohjainen. Tuo uutisjuttu ei aina välitä erotella tuon vakoilukampanjan eri osia. "Tietoturvayhtiö Kaspersky Labin tutkijat ovat löytäneet linux-järjestelmiin tunkeutuneen troijalaisen, joka on vakoillut yli 45 maan julkishallintoa ja yritysmaailmaa." Ei tuota Linux-osiota ole löydetty noin laajalti - kyse on Windowsin haittaohjelmista.
Kaspersky kirjoittaa tuon Linux-haittaohjelman levinneisyydestä:
We suspect that this component was running for years at a victim site, but do not have concrete data to support that statement just yet.
[...]
Although Linux variants from the Turla framework were known to exist, we haven't seen any in the wild yet.
Steve Gibson jopa spekuloi, että tuo Linux-troijalainen olisi tyypillisesti ujutettu lähiverkon Windows-tietokoneen kautta (Security now 485):
And it may well be that they get in via Windows, through an exploit, through an phishing attack where they get an employee to a fraudulent web site - because it is something that they have already determined that the employee would want to do, lure them there. The employee downloads something in Windows. So that gives them their Windows position, but then they look around and go: "Oh, look! This organization has Linux servers", like Linux based web servers. So then they will use their windows based foothold to download this Linux malware and then install that through the intranet into the Linux server and that gives them another access into this corporation through this public server.
Haittaohjelma on hyödytön koneissa, jotka eivät kommunikoi ulkomaailman kanssa suoraan, koska silloin pakettien "taikanumerot" eivät päädy koneen luettavaksi. Haittaohjelma pohjautuu avoimeen lähdekoodiin vuodelta 2000 nimeltään cd00r, jota on esitelty oppikirjoissakin vuosia sitten. Siitä on myös
kirjoitettu:
Cd00r uses a library called libpcap which has been around since the early 1990s on various platforms to obtain a raw socket (e.g. listen or bind socket calls) upon which to listen for a small number of ports. Cd00r never uses higher-level socket functions to bind the socket to a listening port, thus it is never reported in netstat and is not visible to network scanners.
Tuo siis selittää sen, miksi se pysyy piilossa netstatilta, mutta Kaspersky mukaan Turlan Linux-haittaohjelma ei myöskään tarvitse root-oikeuksia toimiakseen:
This Turla cd00r-based malware maintains stealth without requiring elevated privileges while running arbitrary remote commands. It can't be discovered via netstat, a commonly used administrative tool. It uses techniques that don't require root access, which allows it to be more freely run on more victim hosts. Even if a regular user with limited privileges launches it, it can continue to intercept incoming packets and run incoming commands on the system.
Tuon toteutus varmaankin olisi se kaikkein kiinnostavin yksityiskohta, mutta siitä Kaspersky ei kerro mitään.
https://securelist.com/blog/research/67962/the-penquin-turla-2/
