Linux-Trojaner soll Teil der Epic/Turla-Angriffe gewesen sein

Als Teil der Angriffswelle, welche auch unter dem Namen Turla bekannt ist, hatten Hacker mehrere Regierungen, Konzerne und das Militär ausspioniert. Der neue Schädling soll das Linux-Gegenstück zum Uroburos-Rootkit sein.

In Pocket speichern vorlesen Druckansicht 74 Kommentare lesen
Cd00r-Code
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Kaspersky meldet, einen Linux-Trojaner gefunden zu haben, der zur selben Malware-Kampagne gehören soll wie das Windows-Rootkit Uroburos. Als Teil der unter den Namen Epic, Epic Snake und Turla bekannten Angriffswelle sollen Regierungen, das Militär und Firmen in Europa und dem Nahen Osten ausspioniert worden sein. Es wird vermutet, dass die Kampagne von einem Staat finanziert wird.

Die Linux-Version des Trojaners ist für 32-Bit-Systeme geschrieben und bringt die Bibliotheken glibc, OpenSSL und libpcap mit, die im Code statisch verlinkt wurden. Sie basiert laut Kaspersky auf 14 Jahre altem Proof-of-Concept-Quellen namens Cd00r. Kaspersky beschreibt den Trojaner als schwer zu entdecken und behauptet, er könne viele seiner Funktionen ausführen, ohne auf Root-Rechte angewiesen zu sein. Wie genau das funktioniert, beschreiben die Forscher allerdings nicht.

Kaspersky mutmaßt, der Trojaner sei jahrelang aktiv gewesen, bevor die Forscher ihn entdeckten – kann das nach eigenen Angaben aber nicht belegen. Auch scheint der Schadcode im Vergleich zu seinem Windows-Pendant nicht sonderlich weit verbreitet gewesen zu sein. Bisher berichtet Kaspersky von zwei gefundenen Samples, also kann man kaum von einer massenhaften Verbreitung ausgehen. Außerdem ist nicht klar, welche Gefahr der Trojaner darstellt, wenn er ohne Root-Rechte ausgeführt wird.

[Update: 11.12.2014 16:06]

Eine Analyse des Trojaners durch F-Secure legt nahe, dass der Trojaner auch auf Solaris funktioniert. F-Secure spekuliert sogar, dass der Trojaner zuerst fĂĽr Solaris geschrieben wurde. (fab)