Wenn das Wort "Schadsoftware" fällt, konnte man sich in den letzten Jahren relativ sicher sein, dass es um Angriffe gegen Microsofts Windows ging. Immerhin ist dort die breite Masse der Desktop-Nutzer zu finden. In letzter Zeit hat sich diese Situation aber etwas verschoben: Statt Massenattacken finden immer öfter hochspezialisierte Angriffe gegen einzelne Firmen oder Personen statt. Damit werden natürlich für Malware-Autoren auch andere Betriebssysteme immer interessanter, wie nun ein aktueller Bericht von Kaspersky Labs unterstreicht.

Turla

Darin warnt der Sicherheitsdienstleister vor einem bislang unbekannten Trojaner für Linux-Systeme. Dieser dürfte bereits seit Jahren im Umlauf sein, es aber bisher geschafft haben, unentdeckt zu bleiben. Genau genommen handelt es sich dabei um eine Variante des im Sommer erstmals öffentlich gemachten Trojaners "Turla", der zunächst aber ausschließlich auf Windows-Systemen entdeckt worden war.

Hintergrund

Wie die damaligen Recherchen von Kaspersky und Symantec zeigten, wurde Turla über zumindest vier Jahre hinweg gegen Regierungseinrichtungen, Botschaften und andere kritische Ziele in 45 Ländern eingesetzt. Angesichts des Umfangs der Operation, liegt die Vermutung nahe, dass die Malware von einem Staat entwickelt oder zumindest finanziert wurde.

Kontakt

Die Linux-Variante nährt diese Vermutung nun weiter. Agiere diese doch äußerst ausgeklügelt, wie die Kaspersky-Forscher Kurt Baumgartner und Costin Raiu in einem Blog-Entrag des Unternehmen betonen. Damit er auf möglichst vielen Systemen funktioniert, ist der Linux-Turla gegen zahlreiche Bibliotheken statisch gelinkt, darunter etwa die glibc, openssl oder die libpcap. Oberstes Ziel der Spionagesoftware ist es unentdeckt zu bleiben, was offenbar auch relativ gut gelingt. So sei der Trojaner nicht mit klassischen Administrations-Tools wie netstat aufzuspüren, betont Kaspersky.

Ablauf

Zur Installation braucht Turla offenbar keine Root-Berechtigungen, einmal vorhanden gelingt es ihm aber offenbar trotzdem, den Netzwerkverkehr zu überwachen. Details dazu, wie dies exakt funktioniert, fehlen in dem Kaspersky-Artikel allerdings. Auch sonst gibt es wenig Informationen zu den konkreten Tätigkeiten von Turla. Bekannt ist jedenfalls, dass der Trojaner von außen beliebige Befehle auf dem jeweiligen Rechner ausführen kann - mit den Berechtigungen des jeweiligen Nutzers. Die Fernsteuerung erfolgt über einen Command and Control-Server, der auch von außen den Trojaner mit neuen Überwachungs- oder Schadfunktionen nachrüsten kann. Dieser Server residierte bislang unter der Adresse news-bbc.podzone[.]org (80.248.65.183), die aber offenbar mittlerweile unter der Kontrolle von Kasperky steht.

Offene Fragen

Wie bei solch spezialisierten Trojanern ist die - bekannte - Verbreitung auch in diesem Fall sehr gering. Allerdings spricht Kaspersky mittlerweile von zwei unterschiedlichen Varianten, unklar bleibt also wie viele andere Turla-Ausgaben derzeit noch kursieren. (red, derStandard.at, 9.12.2014)