Se descubre la primera variante del troyano Turla en Linux

linux turla

En Linux estamos mucho más a salvo que en Windows, básicamente porque se trata de una plataforma más segura y esto es algo que no admite discusión alguna. Pero de tanto en tanto, sin embargo, aparece algún que otro agujero de seguridad, algo que por suerte es solucionado de manera muy rápida por los desarrolladores y llevado a las diferentes distros casi de inmediato, por lo cual los usuarios igualmente gozan de algo que en otras plataformas requiere que Microsoft o Apple se dignen a lanzar un parche de seguridad.

Ahora, luego de Linux/Ebury, POODLE o Heartbleed surge una nueva amenaza, que en realidad no es nueva sino que ha estado activa durante bastante tiempo, si se tiene en cuenta la información proporcionada por Kaspersky Labs y por Symantec, que han sido las compañías que descubrieron este malware que tiene un comportamiento similar a Turla, con el cual de hecho podría tener conexión. Para quienes no estén al tanto, decir que se trató (o se trata) de un APT (advanced persistent threat, o amenaza persistente y avanzada) que dio que hablar y que durante al menos cuatro años se encargó de robar información de gobiernos, instituciones educativas, ejércitos, embajadas y compañías tecnológicas y farmacéuticas.

Lo peor de este troyano que ahora llega a los primeros planos, y que se convierte en la primera muestra de ataques Turla dirigidos a Linux, es que no requiere de privilegios de administrador para ejecutar comandos en un sistema infectado una vez que es activado, tras lo cual comienza a enviar datos a servidores remotos. Y lo que contribuye a complicar las cosas es que no puede ser detectado mediante los procedimientos más habituales y rápidos para los administradores ya que se trata de un backdoor que puede permanecer en ‘hibernación’ durante mucho tiempo y ser activado en forma remota mediante el envío de paquetes especialmente diseñados, que contienen una secuencia especial de números.

Una posible solución para intentar descubrir si hay tráfico infectado en una red, se puede verificar las conexiones salientes y determinar si alguna es realizada hacia la URL news-bbc.podzone[.]org o la dirección IP 80.248.65.183, que son las conocidas hasta ahora aunque por desgracia puede haber muchas más y esto haría virtualmente imposible, al menos de momento, proteger a todos. Otra posibilidad de protegerse es que los administradores armen una firma digital con la cual se detecte las cadenas “TREX_PID=%u” y “Remote VS is empty ! “.

 

 

 

 


Categorías

Noticias
Etiquetas ,

Willy Klew

Ingeniero en Informática, soy un fanático de Linux, Android, la programación, redes y todo lo que tenga que ver con las nuevas tecnologías. Ex atleta, y usuario de Linux desde 1997. Ah, y un total enfermo del fútbol.

Escribe un comentario