Linux infecté par une variante de Turla Un malware sophistiqué utilisé depuis des années pour espionner 45 États 248PARTAGES 7 0 Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux dune famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.



Baptisé Turla, le malware a été utilisé dans lune des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de léducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.



En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé quil sagissait de lune des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus dune centaine dordinateurs Windows dans ces pays. Le malware figure au même rang que



Il a été construit sur les bases de Agents.btz, un ver qui sétait introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de larmée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l US Cyber Command.



Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant lOS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.



Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par léditeur G-Data, qui se basait sur lanalyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.



La découverte dune variante sous Linux montre que ses capacités ont été sous-estimées. « Léchantillon de Turla nouvellement découvert est inhabituel du fait que cest le premier échantillon que nous avons trouvé qui cible les systèmes dexploitation Linux », a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Nous soupçonnons que cette composante est en cours dexécution depuis des années. »



Le malware dispose des mêmes caractéristiques sous Linux. Il est capable dintercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il na pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer



Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception dinstructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils danalyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.



Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré dinformations sous forme de symboles qui complexifient les opérations de « reverse engineering ».



La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire quInternet serait en train de se transformer en un champ de bataille informatique.



Source : Kaspersky



Et vous ?



Que pensez-vous du malware Turla ?



Serai-t-on en plein dans une cyberguerre ? Des chercheurs en sécurité de Kaspersky Labs ont découvert une variante sous Linux dune famille de malwares qui avait été découverte sous Windows il y a quelques mois par ces derniers et Symantec.Baptisé Turla, le malware a été utilisé dans lune des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de léducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.En aout dernier, lors de la présentation de Turla, Kaspersky avait affirmé quil sagissait de lune des APT (Advanced Persistent Threat - menaces avancées et persistantes) les plus sophistiques au monde. Turla a infecté plus dune centaine dordinateurs Windows dans ces pays. Le malware figure au même rang que Regin , un cheval de Troie hautement complexe qui avait été découvert en novembre dernier par Symantec.Il a été construit sur les bases de Agents.btz, un ver qui sétait introduit dans les sites de la Défense américaine en 2008. Ce dernier avait été décrit comme la pire des violations des ordinateurs de larmée US dans son histoire. Cette attaque avait entrainé la création 14 mois plus tard de l US Cyber Command.Turla aurait exploité plusieurs vulnérabilités dans Windows, dont deux failles zero-day affectant lOS et Adobe Reader. De plus, il utilisait un rootkit pour dissimuler ses traces, ce qui le rendait encore plus difficile à détecter.Le développement du malware serait parrainé par un gouvernement. La Russie avait été pointée du doigt par léditeur G-Data, qui se basait sur lanalyse des tactiques utilisées par les pirates, les indicateurs techniques et les victimes ciblés.La découverte dune variante sous Linux montre que ses capacités ont été sous-estimées. «», a affirmé Kurt Baumgartner, chercheur en sécurité chez Kaspersky. «Le malware dispose des mêmes caractéristiques sous Linux. Il est capable dintercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il na pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancerLe malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception dinstructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils danalyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.Plusieurs mystères planent encore sur le malware, malgré sa découverte. Son fichier exécutable est écrit en C/C++. Il est bourré dinformations sous forme de symboles qui complexifient les opérations de « reverse engineering ».La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire quInternet serait en train de se transformer en un champ de bataille informatique.Que pensez-vous du malware Turla ?Serai-t-on en plein dans une cyberguerre ? Une erreur dans cette actualité ? Signalez-le nous ! Votre nom : Votre e-mail : Décrivez l'erreur que vous souhaitez porter à notre connaissance : 36 commentaires Poster une réponse Signaler un problème Les mieux notés Les plus récents Ordre chronologique Membre chevronné https://www.developpez.com 6 0 L'article ne dit pas grand-chose sur son mode de propagation sur système Linux, en fait. Expert éminent https://www.developpez.com Envoyé par Hinault Romaric Envoyé par Serai-t-on en plein dans une cyberguerre ? Serai-t-on en plein dans une cyberguerre ?

La question qui se pose désormais est de savoir à partir de quel moment une attaque virtuelle va justifier une déclaration de guerre "officielle" qui débouchera sur une guerre IRL ? 4 0 Je pense que la question ne se pose plusLa question qui se pose désormais est de savoir à partir de quel moment une attaque virtuelle va justifier une déclaration de guerre "officielle" qui débouchera sur une guerre IRL ? Membre extrêmement actif https://www.developpez.com



Que pensez-vous du malware Turla ? Que pensez-vous du malware Turla ? 4 1 Mais pourquoi vous vous embêtez à répondre à la petite phrase trollesque de sevyc64? lolUne cyberarme de plus démasquée, on prend conscience que la guerre change réellement de terrain, et on s'attriste de voir l'hypocrisie des états. On se demande si la paix, relative, entre les états n'est du qu'à la dissuasion nucléaire et non à une vrai volonté de pacification. Car à la moindre possibilité de faire un coup en douce, ils s'y engouffrent, et l'informatique (et notamment internet) leur à donner un nouveau terrain de jeu. Hypocrisie encore plus grande quand on voit la volonté de contrôler le net, alors qu'eux même ne s'imposent aucun contrôle. Expert éminent https://www.developpez.com Envoyé par Agrajag Envoyé par -> Serai-t-on en plein dans une cyberguerre ?

On peut dire ça, sauf qu'on utilise toujours les armes que nos adversaires nous mettent à disposition.

De la même manière qu'on se moque des mouvements non-gouvernementaux rebelles qui s'approvisionnent en arme via la Russie ou les USA, on pourrait songer à rire de nos cyber-batailles où l'on se sert d'armes piégées dont le code est parfaitement inconsultable, et qui risque plus de nous nuire que de nous être utile dans cette confrontation : OS étranger (Apple, Microsoft) Plateformes étrangères (BDD Oracle, Java RE), Consoles Etrangères (Microsoft, Sony, Nintendo), Machine et smartphones Etrangers (Dell, Samsung, Microsoft, Nokia), Editeurs de jeux sur ces plateformes (dont très peu sont Français), et Editeurs de logiciels.

De plus, la plupart de ces "acteurs" proviennent d'un seul et même Pays.



Et c'est pas avec Mageia (quoique, c'est un début... saluons l'initiative) qu'on va s'en sortir !

Une filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.

Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pub

A partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à France



Ce n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contraire 3 0 Côté armement, la France fait parti des big 5 et ce n'est pas sans raison, y compris en ce qui concerne l'informatiqueUne filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pubA partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à FranceCe n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contraire Membre extrêmement actif https://www.developpez.com Envoyé par Saverok Envoyé par Côté armement, la France fait parti des big 5 et ce n'est pas sans raison, y compris en ce qui concerne l'informatique

Une filiale d'EADS qui se nomme Amesys a justement été créée pour se domaine spécifique et elle fait partie des leaders mondiaux.

Amesys remporte par ailleurs pas mal de hackathon à travers le monde, histoire de se faire de la pub

A partir du moment où il y a de l'argent à se faire dans l'armement, on peut faire confiance à France



Ce n'est pas parce que ça ne fait pas la une des journaux que ça n'existe pas, bien au contraire 3 0 Tu es sur pour EADS? Si on parle bien de la même Amesys, celle ci est une filiale de Bull est a plutôt mauvaise presse (aide à l'espionnage en Lybie sous le régime Kadhafi). Membre du Club https://www.developpez.com



De mon point vue, c'est la séparation qui est importante. Le net, c'est la voie publique.



Ce qui est confidentiel ne doit jamais se retrouvé connecté.



Vous devez séparer ce qui est confidentiel du reste. Ainsi, travailler sur un support dédié (clé usb, disque dur etc), et mettre votre système sur un support en lecture seule. Tout cela déconnecté physiquement du réseau.



Vous devez embaucher des gens sérieux, qui respectent les procédures, et qui sont honnêtes.

(ça existe et ça se reconnait, vous savez, ce sont ceux qu'on vire parce qu'ils sont trop à cheval sur les principes)



Vous devrez mettre à jour votre système sur le support en lecture seule, depuis un autre pc. Ailleurs. C'est très bien comme cela.



Si vous voulez vraiment éviter de raconter votre vie à Google ou MS ou IBM, téléchargez systématiquement la doc complète des choses que vous utilisez, et consultez là, off line. Très important.



C'est pas "pratique", certes, mais faut savoir ce qu'on veut. Tout se dose. 3 0 Si vous voulez vraiment faire dans le "confidentiel", il va falloir apprendre à prendre des précautions, c'est la vie hein. Faire confiance à d'autres, sans les connaitre, c'est stupide.De mon point vue, c'est la séparation qui est importante. Le net, c'est la voie publique.Ce qui est confidentiel ne doit jamais se retrouvé connecté.Vous devez séparer ce qui est confidentiel du reste. Ainsi, travailler sur un support dédié (clé usb, disque dur etc), et mettre votre système sur un support en lecture seule. Tout cela déconnecté physiquement du réseau.Vous devez embaucher des gens sérieux, qui respectent les procédures, et qui sont honnêtes.(ça existe et ça se reconnait, vous savez, ce sont ceux qu'on vire parce qu'ils sont trop à cheval sur les principes)Vous devrez mettre à jour votre système sur le support en lecture seule, depuis un autre pc. Ailleurs. C'est très bien comme cela.Si vous voulez vraiment éviter de raconter votre vie à Google ou MS ou IBM, téléchargez systématiquement la doc complète des choses que vous utilisez, et consultez là, off line. Très important.C'est pas "pratique", certes, mais faut savoir ce qu'on veut. Tout se dose. Expert éminent https://www.developpez.com Envoyé par Hinault Romaric Envoyé par

Baptisé Turla, le malware a été utilisé dans lune des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de léducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.



La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire quInternet serait en train de se transformer en un champ de bataille informatique.



Que pensez-vous du malware Turla ?



Serai-t-on en plein dans une cyberguerre ? Baptisé Turla, le malware a été utilisé dans lune des plus complexes campagnes de cyberattaques découvertes à ce jour, pendant au moins quatre ans. Il ciblait essentiellement les institutions gouvernementales, les ambassades, les sites militaires, de léducation, de la recherche et les sociétés pharmaceutiques dans environ 45 pays.La recrudescence des malwares développés par des gouvernements pour des cyberattaques, montre que ceux-ci investissement massivement dans le cyberarmement. À croire quInternet serait en train de se transformer en un champ de bataille informatique.Que pensez-vous du malware Turla ?Serai-t-on en plein dans une cyberguerre ? Envoyé par sevyc64 Envoyé par Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.



Pas d'avis technique sur Turla, place aux chercheurs du monde entier qui s'y connaissent.



La cyberguerre a déjà commencé aux yeux du plus grand nombre (enfin surtout les technophiles, techno-compréhensifs,etc...) depuis des articles récurrents et vérifiables dans leurs conséquences, Stuxnet pour les centrales nucléaires iraniennes par exemple.



Une des questions qui me vient à l'esprit, là, maintenant :

Est-ce que nos gouvernements ont bien pris conscience de ces menaces ? et qu'à force d'avoir une logique strictement financière, ne sont-ils pas en train de creuser notre tombe .. et la leur (et ceux de leurs "obligés", de leurs "commanditaires" ) ?

M'est avis que les bouquins de Science-Fiction du passé (parfois considérés comme "ringard", plus pour la forme que pour le fond) vont devenir sous peu des livres de philosophie, de sociologie de facto. 2 0 Au delà de l'humour de sevyc64 plutôt mal perçu à chaud, le malware en question (virus ?) est une "solution" de plus pour établir son pouvoir technologique, que ce soit m$soft ou linux.Pas d'avis technique sur Turla, place aux chercheurs du monde entier qui s'y connaissent.La cyberguerre a déjà commencé aux yeux du plus grand nombre (enfin surtout les technophiles, techno-compréhensifs,etc...) depuis des articles récurrents et vérifiables dans leurs conséquences, Stuxnet pour les centrales nucléaires iraniennes par exemple.Une des questions qui me vient à l'esprit, là, maintenant :Est-ce que nos gouvernements ont bien pris conscience de ces menaces ? et qu'à force d'avoir une logique strictement financière, ne sont-ils pas en train de creuser notre tombe .. et la leur (et ceux de leurs "obligés", de leurs "commanditaires" ) ?M'est avis que les bouquins de Science-Fiction du passé (parfois considérés comme "ringard", plus pour la forme que pour le fond) vont devenir sous peu des livres de philosophie, de sociologie Nouveau membre du Club https://www.developpez.com Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture. Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

De plus Linux n'est pas un noyau dont la priorité est la sécurité... si tel était le cas il intégrerait depuis longtemps une majorité de propositions faites par SELinux... 3 1 Tous système est corruptible, d'une manière ou d'une autre...De plus Linux n'est pas un noyau dont la priorité est la sécurité... si tel était le cas il intégrerait depuis longtemps une majorité de propositions faites par SELinux... Membre extrêmement actif https://www.developpez.com Envoyé par temoanatini Envoyé par Sait-on depuis quand le malware est dans Linux ? Envoyé par Agrajag Envoyé par @temoanatini :

Est-ce qu'un Etat, en passant par divers contributeurs intermédiaires, peut avoir la possibilité de faire des pull request sur certains projets ?

4 2 Comme dit imikado il n'est pas dans Linux. Il ne s'agit pas d'une backdoor mais d'un malware. Expert éminent https://www.developpez.com Envoyé par benjani13 Envoyé par Tu es sur pour EADS? Si on parle bien de la même Amesys, celle ci est une filiale de Bull est a plutôt mauvaise presse (aide à l'espionnage en Lybie sous le régime Kadhafi).

Je me suis gouré sur la filiation, méa culpa



Et vi, on vend rarement des armes à des gentils, surtout quand il s'agit d'instrument de surveillance de masse d'une population...

La plupart des ventes d'armes se font dans le secret

Le cas de la Libye est sorti dans la presse mais combien d'autres contrats restent dans l'ombre ?

On ne connaît que la face émergée de l'iceberg sur ces sujets

Contrairement aux USA, la France n'a pas eu droit à son lanceur d'alerte. 2 0 Il s'agit bien de la mêmeJe me suis gouré sur la filiation, méa culpaEt vi, on vend rarement des armes à des gentils, surtout quand il s'agit d'instrument de surveillance de masse d'une population...La plupart des ventes d'armes se font dans le secretLe cas de la Libye est sorti dans la presse mais combien d'autres contrats restent dans l'ombre ?On ne connaît que la face émergée de l'iceberg sur ces sujetsContrairement aux USA, la France n'a pas eu droit à son lanceur d'alerte. Poster une réponse Signaler un problème

