ChimeraRevo – Il punto di riferimento della tecnologia
menubar
Home > Guide > Turla colpisce ancora: il…

Turla colpisce ancora: il malware è attivo da anni anche su Linux

Gaetano Abatemarco Dic 10, 2014

La consapevolezza che alcuni enti governativi, di sicurezza e quant’altro sono potenzialmente in grado – e nessuno glielo vieta – di “ritoccare” programmi ed interi apparati hardware con malware in qualche modo autorizzati ai fini di spionaggio sorveglianza ha messo sull’attenti sia tutti i più o meno esperti in materia che intere security firm, intente a rilevare tracce di minacce fino ad oggi lasciate indisturbate.

E’ il caso ad esempio della recente scoperta di Reign, che si è rivelato attivo dal 2008, oppure di un meno “pubblicizzato” Turla “beccato” da Symantec e dalla security firm russa Kaspersky, forse meno conosciuto ma di certo non meno pericoloso: nonostante le dinamiche diverse, ad accomunare entrambi i malware è l’obiettivo di “rubare dati” da grossi server di una certa rilevanza a livello mondiale ad esempio, almeno nel caso di Turla, i computer degli enti governativi o delle case farmaceutiche.

malware_r

Ma si sa che le brutte notizie arrivano come le ciliege e se è vero – come è vero – che entrambi i trojan hanno agito indisturbati su Windows, il campo d’azione potenziale mira ad espandersi con pochissimi dubbi. Kaspersky – per fortuna o forse no – ha colpito ancora, rilevando in tempi piuttosto recenti una seconda variante di Turla. A caderne vittime questa volta sono i sistemi operativi Linux-based.

Turla, nel dettaglio

Come già detto, Turla è una cosiddetta APT – minaccia avanzata e persistente – scoperta per la prima volta da Symantec e Kaspersky la scorsa estate, balzata immediatamente nei posti più alti della lista delle APT più temibili ed efficaci (così come ci sarebbe finita Regin poco tempo dopo); il malware ha agito indisturbato su Windows per almeno quattro anni, bersagliando server rilevanti – appartenenti ad istituzioni governative, militari, educazionali, di ricerca, case farmaceutiche ed ambasciate – in ben 45 Paesi del mondo.

Turla agiva sfruttando delle vulnerabilità di Windows, almeno due delle quali erano classificate “zero-day” (ovvero di nuova scoperta e senza patch esistente) ai tempi in cui sono state sfruttate; ciò lascia chiaramente intuire che, oltre da metodo d’accesso per i dati in transito sui server vittima, Turla è in grado di eseguire comandi su richiesta – cosa che dalle analisi successive si sarebbe rivelata vera. Il rootkit che Turla ha usato per agire è balzato all’occhio per la sua complessità e per la difficoltà di rilevazione.

[Turla] Agisce in ambienti più ampi di quanto sospettavamo in precedenza. Tutto ciò che avevamo già visto su Turla era basato su Windows. Questo ulteriore pezzo del puzzle ci mostra che [gli aggressori] non si pongono limiti.

binary-code-abstract

Turla è in grado di comunicare con un server di controllo ed eseguire i comandi ricevuti da esso anche senza disporre di privilegi elevati, il che significa che anche un utente con permessi regolari (come ad esempio può essere “apache” o “nobody”) è in grado di lanciarlo, permettendogli di intercettare il traffico di rete ed eseguire codice arbitrario sulle macchine infette.

Nonostante le carte siano state scoperte, alcune informazioni sul malware – scritto combinando C e C++ – restano ignote, principalmente “grazie” alla stretta connessione con librerie scritte in precedenza e l’assenza di informazioni sui simboli usati. Ciò significa che alcune capacità di Turla su Linux potrebbero essere ancora ignote:

Il codice è molto interessante. Non soltanto funziona su Linux, ma non lo si può rilevare con i metodi convenzionali.

Tutti i sistemi operativi Linux-based sono in pericolo?

In una sola parola: NO.

Se quanto abbiamo appreso fino ad ora di Turla su Linux disegna uno scenario a dir poco inquietante, è pur vero che per cadere vittime di una minaccia del genere c’è bisogno di ricoprire una certa “importanza”: Turla non è esattamente il tipo di malware scritto in una settimana da uno o più liceali con skill più o meno avanzate di codewriting e che si contrae eseguendo binari precompilati di dubbia provenienza reperiti in rete; a Turla non interessano le password di Facebook né quelle di Twitter, tantomeno il numero della vostra carta di credito.

Le mani che hanno scritto il malware appartengono con enormi probabilità a piani “molto alti”, in gioco ci sono dati ben più importanti, ed un malware di tale portata sicuramente non viene diffuso in Internet dal piccolo cracker di turno in cerca di un modo per far soldi facili né viene venduto in giro per le darknet. Turla è per pochi eletti, ed è plausibile pensare che sia arrivato – e forse arriverà ancora – sui server delle vittime con mezzi di diffusione ben poco convenzionali. Tra l’altro, al momento Kaspersky è stata in grado di identificare ed isolare la minaccia su un unico server. Questo la dice lunga.

E’ presumibile che tutti coloro che eseguono qualsiasi variante dei sistemi operativi Linux-based sul proprio PC possano stare assolutamente tranquilli, a meno che non si tratti di server particolarmente esposti o contenenti dati estremamente sensibili, di importanza internazionale. In questo caso, per essere sicuri di dormire sonni tranquilli, se siete amministratori di un sistema del genere cercate tra le connessioni in uscita dalla vostra infrastruttura di rete tracce dei due server di controllo noti, che rispondono rispettivamente agli indirizzi

 news-bbc.podzone[dot]org

o

 80.248.65.183

Un’analisi ulteriore per scoprire se si è stati colpiti o meno dalla minaccia può essere effettuata utilizzando questo tool, in grado di rilevare tracce dei comandi che Turla ed il server di comando si scambiano sui pacchetti in uscita.

La ricerca va avanti. E’ probabile che ad un certo punto ciò condurrà ad un’altra rilevazione a causa del modo in cui è usata la backdoor.

Restiamo in attesa di ulteriori sviluppi.

APPROFONDIMENTO | Differenze tra Virus, Worm, Trojan e Malware: guida pratica

In che zona siamo oggi? A risponde è Siri

10 ore fa

Per quanto possa sembrare complicata, l’applicazione “Comandi” di iPhone e iPad, rappresenta una piattaforma utile e soprattutto essenziale per la personalizzazione delle funzioni di Siri. In questa guida, andremo a sfruttarla per creare un comando leggi di più…

siri apple 800x500 c

Come scaricare audiolibri gratis

21 ore fa

Sono in molti ad amare leggere libri o, in alternativa, ascoltarli per rilassarsi. Gli audiolibri, infatti, hanno proprio lo scopo di intrattenere gli utenti, i quali devono semplicemente avviare la loro riproduzione e mettersi comodi leggi di più…

come scaricare audiolibri gratis

Fotocamere Compatte Sony: le migliori da comprare nel 2021

1 giorno fa

In questa guida all’acquisto sempre aggiornata vi mostreremo quali sono le migliori fotocamere compatte Sony e i principali criteri con cui sceglierne una. L’azienda nipponica è riuscita in poco tempo a riscuotere un grande successo in leggi di più…

migliori compatte sony

Fotocamere Compatte Panasonic: le migliori da comprare nel 2021

1 giorno fa

In questa guida sempre aggiornata vi introdurremo all’acquisto delle migliori compatte Panasonic, dispositivi che – oltre ad essere molto indicati per registrare video – sono in grado di regalare ottimi scatti grazie a sensori molto leggi di più…

migliori compatte panasonic

Fotocamera compatta Olympus: le migliori da comprare nel 2021

1 giorno fa

In questa guida all’acquisto sempre aggiornata vi mostreremo le migliori fotocamere compatte Olympus attualmente presenti sul mercato. Principalmente rivolti al mondo degli sportivi e agli amanti dell’outdoor, i dispositivi di casa Olympus garantiscono il massimo sotto leggi di più…

migliori fotocamere compatte Olympus

Iscriviti alla Newsletter

Articoli recenti

  • In che zona siamo oggi? A risponde è Siri
  • Come scaricare audiolibri gratis
  • Fotocamere Compatte Sony: le migliori da comprare nel 2021
  • Fotocamere Compatte Panasonic: le migliori da comprare nel 2021
  • Fotocamera compatta Olympus: le migliori da comprare nel 2021
  • Chi siamo
  • Lavora con noi
  • Contattaci
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy