Gesellschaft::Wissenschaft
Linux-Varianten eines fortschrittlichen Trojaners für Windows entdeckt
Die Linux-Varianten basieren auf dem Trojaner Turla, den Forscher der Sicherheitsunternehmen Kaspersky Labs und Symantec im Jahresverlauf untersucht hatten.
Bei Turla handelt es sich um eine Windows-Malware, die vermutlich im Auftrag osteuropäischer Regierungsbehörden entwickelt wurde und die seit mindestens 2008 zahlreiche ausländische Botschaften, militärische Komplexe, Bildungs- und Forschungseinrichtungen sowie Pharmazieunternehmen in 45 Ländern angegriffen hat. Kaspersky deckte 2012 und im Sommer 2014 massive konzertierte Angriffsszenarien durch Turla auf. Die Kampagne des Sommers 2014, von Kaspersky Epic getauft, zielte auf Cyberspionage bei osteuropäischen Regierungen und hohen Beamten ab. Turla ist auch unter anderen Bezeichnungen wie Snake, Uroboros oder Carbon bekannt. Bei einer solchen Kampagne werden zunächst eine größere Anzahl von Webseiten infiziert, die als »Wasserlöcher« fungieren. Dabei handelt es sich oft um spezialisierte Seiten, die von der anvisierten Klientel stark frequentiert werden.
Dort werden Rechner dann mit der Malware Tavdig, auch als Trojan.Wipbot bekannt, infiziert. Dieser Angreifer untersucht den Rechner auf Tauglichkeit, im positiven Fall wird dann Turla installiert. Dieser richtet dann einen versteckten Container ein, in dem die benötigten Werkzeuge und gestohlene Daten abgelegt werden. Neue Malware kann nachgeladen werden und es wird mit den Servern kommuniziert, die die Spionageaktion steuern. Kaspersky bezeichnet Turla als sehr weit entwickelt. So braucht der Trojaner etwa keine Administratorrechte, um mit dem Command-and-Control-Server zu kommunizieren. In der Windows-Welt wurden für die Angriffe zwei Zero-Day-Exploits verwendet, die unter CVE-2013-5065 und CVE-2013-3346 katalogisiert sind.
Die jetzt entdeckten Varianten, die auf Linux abzielen, liefen laut Symantec vermutlich bereits seit Jahren auf den infizierten Rechnern, bevor sie nun entdeckt wurden. Turla besitzt exzellente Tarnmechanismen, die eine lange Verweildauer vor einer Entdeckung ermöglichen. Die Linux-Variante von Turla ist ein ausführbares Programm in C/C++, das unter anderem gegen die Bibliotheken glibc 2.3.2, openssl 0.9.6 und libpcap statisch gelinkt ist. Um die Analyse zu erschweren, sind sämtliche Symbol-Informationen entfernt worden. Das veranlasste Kurt Baumgartner von Kaspersky Labs zu der Aussage, in der Linux-Variante könnten durchaus noch unentdeckte Mechanismen stecken. Das zweite in freier Wildbahn entdeckte Exemplar entstammt einer neueren Generation der Malware, so die Forscher. Diese stellen sich nun die Frage, wie viele weitere unentdeckte Varianten auf bereits infizierten Rechnern weltweit schlummern.
