Kaspersky Lab spiega Turla, il rootkit di Linux che spiava 45 paesi

Turla è un malware di alto profilo, scritto da hacker incredibilmente bravi - sicuramente è il frutto del lavoro di uno stato-nazione. Ma quale?

turla

Kaspersky Labs ha diffuso i dettagli di un rootkit di Linux chiamato Turla, la cui controparte per Windows era già stata rilevata questa estate. Si tratta di un malware creato da uno stato nazione e non da qualche singolo hacker malintenzionato e neppure da un’organizzazione di cybercriminali. Il suo scopo è lo spionaggio, e i bersagli sono militari, diplomatici, infrastrutture e compagnie farmaceutiche sparse per tutto il mondo. Sono più di 45 i paesi vittima di questa cospirazione, e si tratta di un malware molto notevole per la difficoltà con cui si lascia rintracciare. Il livello e la gravità della minaccia è comparabile con Regin, un altro malware trovato il mese scorso che aveva caratteristiche simili, ma non identiche.

Turla sembrava già una minaccia quando lo si pensava confinato su Windows. Ora che la componente Linux è venuta alla luce le implicazioni sono molto gravi: l’operazione è vasta e va specificamente a colpire quei paesi che hanno scelto l’open source per alcuni servizi e infrastrutture. Un caso notevole è la Francia, ma non è certo il solo.

Linux è generalmente più ostile ai malware rispetto a Windows, un dato di fatto piuttosto risaputo persino presso l’uomo della strada. Questo rootkit è un programma davvero “interessante”, per usare una terminologia scelta da Kaspersky. Al contrario della normalità dei software, non può essere visualizzato con il comando netstat. Turla resta immobile come certi predatori, mimetizzato fino a quando non è attivato da comandi specifici provenienti dall’esterno: questo minimizza la possibilità di essere rilevato, e sembra che in almeno un caso il malware sia rimasto dormiente per anni nella macchina di una delle sue vittime.

I segnali sono dei pacchetti di informazioni che contengono dei dati detti in gergo “numeri magici”. Turla è creato per sfruttare le falle di alcune distro comuni di Linux. Non ha bisogno di permessi di alto livello per eseguire i suoi comandi, anche se non è in grado di fare tutto. Tra i suoi “poteri” c’è quello di comunicare con i server sotto al controllo dei cybercriminali che lo stanno sfruttando e alcune funzioni di accesso remoto e controllo a distanza della macchina infetta.

Turla è al momento un mistero, quasi del codice “alieno”. Scritto in C e C++, contiene stringhe da altre librerie già scritte. Non ci sono informazioni di debug del simbolo, il che significa che è davvero complesso capire come è stato creato il suo codice. Ci vorrà parecchio tempo affinché gli esperti riescano ad attuare un retroengineering di questo micidiale e interessante malware.

Via | Ars Technica

  • shares
  • Mail