En agosto de este año, los investigadores de Kaspersky Lab comunicaron que llevaban analizando durante los 10 últimos meses una operación de ciberespionaje masiva, a la que bautizaron como Epic Turla. Los integrantes tras este ataque habían infectado cientos de ordenadores de más de 45 países, incluyendo gobiernos, embajadas, ejércitos, educación, investigación y farmacéuticas.
Se sabe que los atacantes usaron los siguientes ataques de día cero (ataque contra aplicación o sistema mediante una vulnerabilidad desconocida por el fabricante):
- CVE-2013-5065 : vulnerabilidad que permite escalar privilegios en Windows XP y Windows 2003.
- CVE-2013-3346 : ejecución de código arbitraria en Adobe Reader.
Recientemente, se ha descubierto una versión de Turla, dirigida a Linux.
Ataque con Linux en el punto de mira
El módulo de Turla para Linux es un ejecutable en C/C++, que enlaza con múltiples librerías incrementando notablemente su tamaño. Es un APT (Amenaza persistente avanzada, no confundir con el administrador de paquetes) cuya función es la de proporcionar comunicaciones de red ocultas**, ejecución de comandos arbitrarios de forma remota y administración remota.
No penguin left behind: #EpicTurla #APT's #Linux component discovered https://t.co/8KAZxj0W85 pic.twitter.com/4enWvfgK6A
— Kaspersky Lab (@kaspersky) diciembre 17, 2014Este software malicioso se mantiene oculto sin necesidad de tener privilegios elevados mientras ejecuta comandos arbitrarios remotos. No puede ser descubierto vía netstat, una herramienta administrativa comúnmente usada. Usa técnicas que no requieren acceso root, lo que hace que pueda ser ejecutado de forma más libre en la máquina de la víctima. Incluso si un usuario sin privilegios de superusuario lo ejecuta, puede seguir interceptando comunicaciones y lanzar comandos que llegan al sistema.
Mirémoslo con perspectiva
Por muy aterrador que suene todo, todavía hay muchas cosas que analizar sobre Turla. Lo principal que sabemos es que este software malicioso no está dirigido a los usuarios como el típico programa que viene con un virus dentro. Es algo muy pensado y se especula que tiene el respaldo de un país detrás, pensado en utilizarse frente a gobiernos e instituciones de otros países.
Así que hasta que sepamos más, no tenemos otra que seguir unas buenas prácticas de seguridad a la hora de usar nuestro PC. Nada de poner PPAs que no conocemos, o lanzar scripts/aplicaciones que no sabemos lo que hacen.
Mientras tanto, nosotros seguiremos a la espera de nuevas noticias.
Los comentarios están cerrados.