近日卡巴斯基和賽門鐵克的安全專家發現了一個極其隱秘的Linux間諜木馬，專門竊取全球政府部門和重要行業的敏感數據。

[[124360]]

最新發現的Linux間諜木馬是卡巴斯基和賽門鐵克今年8月份發現的高級持續攻擊——圖蘭(Turla)的另外一塊拼圖。“圖蘭”主要攻擊目標是全球45個國家的政府部門、使領館、軍隊、教育科研機構以及醫藥公司，是當今最頂級的APT高級持續攻擊活動，與最近發現的Regin處于同一級別，與近年來發現的國家級惡意軟件如Flame、Stuxnet和Duqu很像，技術上高度復雜。

據卡巴斯基實驗室透露此前安全界僅發現基于Windows系統的“圖蘭”間諜木馬。而且由于“圖蘭”采用了Rootkit技術，極難被發現。

Linux間諜木馬的曝光表明“圖蘭”的攻擊面還覆蓋了Linux系統，與Windows版木馬類似，Linux版“圖蘭”木馬高度隱秘，使用常規方法(例如Netstat命令)根本無法察覺，該木馬進入系統后會隱藏并保持靜默潛伏，有時甚至會在目標的電腦中潛伏長達數年之久，直到攻擊者發送包含特定序列數字的IP包時才會被激活。

激活后Linux版圖蘭木馬可以執行任意命令，甚至無需提升系統權限，任何一個普通權限用戶都能啟動它進行監控。

目前安全界對Linux版圖蘭木馬及其潛在功能的了解還非常有限，已知信息包括該木馬由C和C++語言開發，包含了必要的代碼庫，能夠獨立運行。圖蘭木馬的的代碼去除了符號信息，這使得研究者很難對其進行逆向工程和深入研究。

安全牛建議重要部門和企業的Linux系統管理員盡快自查是否感染了Linux版圖蘭木馬，方法很簡單：檢查出站流量中是否包含以下鏈接或地址：news-bbc.podzone[.]org or 80.248.65.183，這是目前已經發現的Linux版圖蘭木馬硬編碼的命令控制服務器地址。系統管理員還可以使用開源惡意軟件研究工具YARA生成證書，并檢測其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”兩個字符串。