Por: Eduardo Medina
Unos investigadores han descubierto un troyano extremadamente sigiloso que se ejecuta en sistemas Linux, que ha podido ser usado para obtener información sensible de gobiernos y farmacéuticas.
Este malware representa la pieza que faltaba en el puzzle de Turla, una amenaza persistente avanzada (APT en inglés) que fue descubierta el pasado mes de agosto por Symantec y Kaspersky Lab. Durante los últimos 4 años ha tenido como objetivo todo tipo de instituciones de estado, desde el gobierno hasta el ejército, pasando por el sistema educativo, así como también a empresas farmacéuticas, afectando a 45 países en el mundo.
Hasta ahora Turla solo había infectado a sistemas operativos Windows, aprovechando diversas vulnerabilidades del sistema, entre ellas dos zero day. El malware destacó por el uso de un rootkit que lo hacía realmente difícil de detectar, provocando que se considere a Turla como una APT, sin embargo parece que todo se ha ido de las manos, ya que los investigadores de Kaspersky Lab en Moscú han descubierto un troyano para Linux, realizado con C y C++.
Debido a que es tremendamente sigiloso, no puede ser detectado a través del comando netstat, y ha podido estar alojado en ordenadores Linux durante mucho tiempo. El troyano también es capaz de enviar información sin necesidad de privilegios de administrador, siendo ejecutado a través de unos paquetes que se le mandan a través de una puerta trasera, que contienen una serie de “números mágicos” que activan el malware.
La complejidad de Turla está dejando sorprendidos a los investigadores, además de que por ahora se desconoce quiénes son sus autores. Pese a todo, el claro enfoque hacia instituciones invita a pensar que por ahora los usuarios comunes no tienen mucho que temer, ya que se sospecha que todo puede formar parte de algún plan de espionaje.