Araştırmacılar, Linux sistemleri etkileyen çok gizli bir trojan keşfettiler. Saldırganlar bu açığı kullanarak, dünya çapındaki ilaç firmaları ve hükümetlerden hassas verileri sifon gibi çekmiş.
Daha önce bulunamayan bu kötü amaçlı yazılım, Kaspersky Lab ve Symantec tarafından ağustos ayında açıklanan “Turla” yani APT olarak adlandırılan “gelişmiş kalıcı tehdit”in eksik parçası olarak tanımlanıyor.
Bu yeni açığın, en az 4 yıldan beri 45 ülkedeki hükümetleri, askeri bölümleri, eğitim kurumlarını, araştırma ve ilaç firmalarını hedeflediği raporlanıyor. Saldırganların kim olduğu bilinmiyor ama saldırdıkları noktalara bakarak bir devlet olduğu düşünülüyor.
Aynı saldırganların bir seri açığı kullanarak, Windows tabanlı bilgisayarları da etkilediği ve tespiti zor bir rootkit kullandığı bulunmuştu. İşte yeni bulunan Linux açığı ise bu olayın bir parçası olduğu ve tespit edilen istihbarat kampanyasının tahmin edildiğinden daha büyük olduğu görülüyor.
Windows’da bulunan virüs gibi Linux trojan da çok gizli, netstat gibi komutlarla gözükmüyor. Kendisini gizlemek için saldırganlar “sihirli numaralar” içeren farklı tanımlanmış paketler gönderene kadar sessiz kalıyor. Hatta bazı bilgisayarlarda yıllarca sessiz ve farkedilmeden kalabileceği belirtiliyor. Trojan bazı komutları çalıştırabiliyor.
Linux trojan tespit edildi ama hala pek çok açıdan anlaşılabilmiş değil. Yönetim dosyasının C ve C++ ile yazdılığı ve bir kod içerdiği ama bu kodun bir takım sembollerden oluştuğu, dolayısıyla tersine mühendisliği ya da analizi imkansız hale getirdiği belirtiliyor. Dolayısıyla Trojan’ın bütün yetenekleri anlaşılabilmiş değil.
Sunucularda Turla’ya bağlı trafik için news.bbc.podzone[.]org ya da 80.248.65.183’e giden trafiği kontrol etmek gerekiyor.