[NIXP] В Kaspersky Lab обнаружили новый троянец для Linux, нацеленный на правительства 45 стран

[Dmitry Shurupov]

Исследователи выявили хорошо скрывающуюся в системе троянскую программу для Linux-систем. Бэкдор связывают с глобальной шпионской кампанией, нацеленной на правительства 45 стран. Исследователи говорят, что злоумышленники через троян получили доступ к конфиденциальным данным правительств и фармацевтических компаний по всему миру. Выявленное ПО — недостающая часть в Turla, так называемой расширенной постоянной угрозы (Advanced persistent threat — APT), описанной специалистами Kaspersky Lab и Symantec в августе. На протяжении как минимум четырёх лет кампания действовала против правительственных учреждений, посольств, военных ведомств, образовательных и исследовательских учреждений и фармацевтических компаний в 45 странах. Специалисты по безопасности в Kaspersky Lab нашли троян, действующий также в рамках этой угрозы, но заражающий не Windows-системы, а ОС на базе Linux. Как и Windows-аналог, троян хорошо скрывается в системе. Его невозможно обнаружить при помощи netstat, троян никак не проявляет себя до получения «магической комбинации» — определённой последовательности из цифр. Запустить троянскую программу может даже пользователь с ограниченными правами, давая возможность перехватывать трафик и выполнять команды. Однако анализ ПО не завершён, т.е. пока не все возможности трояна исследованы.


оригинал на www.nixp.ru

[azsx]

мы все умрём?

[sans]

Сколько дней его собирать надо?
Мануал по сборке есть?

[Yaros]

Описано настолько туманно, что прям любопытно, как работает.

[Janik]

А какая минимальная версия GLibc?

[Stauffenberg]

Специалисты по безопасности в Kaspersky Lab нашли троян,

Где конкретно нашли-то?

[SLEDopit]

Запустить троянскую программу может даже пользователь с ограниченными правами, давая возможность перехватывать трафик

Интересно, как они научились перехватывать трафик из под урезанного пользователя? Это что, в ведре дырища где-то?
Хотя, скорее всего, как обычно, журналисты такие журналисты.

[Bizdelnick]

Хотя, скорее всего, как обычно, журналисты такие журналисты.

Да нет, на сей раз в оригинале не менее загадочно:

It uses techniques that don't require root access, which allows it to be more freely run on more victim hosts. Even if a regular user with limited privileges launches it, it can continue to intercept incoming packets and run incoming commands on the system.

А чуть ниже показано, как именно он "don't require root access":

Работает через libpcap, никакой магии.

[Yaros]

Работает через libpcap, никакой магии.

А если

Код: Выделить всё

# chmod 760 /usr/lib64/libpcap.so.1.6.2

, то это уже частично решает проблему?

А что значат вторая, третья и четвертая строки?

[Bizdelnick]

А что значат вторая, третья и четвертая строки?

Вторая и третья - параметры, которые надо ввести руками после запуска, чтобы оно работало. (-:
Четвёртая - PID, который оно выводит.
Собственно, по ссылке это всё описано.

[Hephaestus]

Касперскому, похоже не спится оттого, что есть на свете система, где его продукт не нужен чуть менее, чем никому. Вот и ищет. А кто, ищет, тот найдёт, как известно.

[drBatty]

Хотя, скорее всего, как обычно, журналисты такие журналисты.

Да нет, на сей раз в оригинале не менее загадочно:

It uses techniques that don't require root access, which allows it to be more freely run on more victim hosts. Even if a regular user with limited privileges launches it, it can continue to intercept incoming packets and run incoming commands on the system.

А чуть ниже показано, как именно он "don't require root access":

Работает через libpcap, никакой магии.

няня я у них поел.
давайте код уже, я попробую у себя на тестовой системе запустить. Пока кода не будет, я буду считать ВСЁ выше перечисленное ЛПП. Нужно расшифровать «ЛПП»?

[Kopilov]

Нужно расшифровать «ЛПП»?

ЛПП может означать «Лучший представитель породы» -- в данном случае вот этой породы, не иначе

[Bizdelnick]

давайте код уже

Это Вы мне? Где ж я его возьму-то?