Trojan pode ter infetado computadores Windows e Distribuições GNU/Linux durante anos

Durante vários anos muitas empresas e instituições governamentais têm utilizadoo sistema operativo GNU/Linux. 

As razões para esta aposta num sistema open source prendem-se com vários aspectos, dos quais se destacam a elevada performance, uma facilidade de personalização, robustez, estabilidade, segurança e o custo.

Um grupo de investigadores descobriu um Trojan extremamente poderoso que poderá estar a ter acesso a dados confidenciais de governos e de empresas.

Tendo estes investigadores afirmado que este malware desconhecido representa uma parte do APT Turla divulgado pela Kaspersky Lab e pela Symantec em Agosto deste ano.

Com esta descoberta, os investigadores que pertencem à Kaspersky Lab, em Moscovo, afirmam que este malware poderá ter infectado muitos mais sistemas do que se teria pensado inicialmente, estando incluídas instituições governamentais, instituições educativas e até mesmo empresas farmacêuticas, tudo isto em mais de 45 países um pouco por todo o mundo, levando mesmo as empresas de segurança.

Segundo informações, este é um Trojan extremamente poderoso, sem precedentes, é “letal” como nenhum outro. Isto porque o malware consegue infectar tanto sistemas Windows como sistemas Linux através de um rootkitquase indetectável, não podendo ser identificado com o tradicional comando netstat.

Para se poder esconder, este malware fica “adormecido” até que os atacantes envie um pacote que contém “magic numbers” nos seus números de sequência, podendo este malware permanecer assim escondido durante anos num computador, completamente indetectável.

Além disto, caso este Trojan infecte alguma máquina, ele poderá executar comandos arbitrários mesmo que o utilizador não tenha privilégios root.

Isto diz-nos que mesmo que o utilizador tenha acesso limitado à sua máquina, este Trojan poderá ser inicializado na mesma forma. Sendo que depois do computador ser infectado, os cibercriminosos conseguem estabelecer comunicação com os seus servidores o que lhes permite a execução de comandos à sua escolha.

Este Trojan foi desenvolvido em C e C++ e contém bibliotecas previamente escritas, o que dá ao ficheiro malicioso auto-suficiência. De modo a que não seja possível fazer engenharia reversa, o código contém também muita “informação símbolo”.

Para os administradores de sistemas Linux que queiram verificar se os seus sistemas foram comprometidos, basta verificarem se existem ligações da sua máquina para o endereço 80.248.65.183, este endereço pertence ao canal de comando e controlo do Trojan.

Este Trojan com toda a certeza surpreendeu as empresas de segurança, pois as mesmas afirmam nunca terem visto um Trojan tão complexo, principalmente a conseguir atacar sistemas Linux.

Se de facto este trojan for apenas a ponta do icebergue, isto deixa um alerta para todos as organizações que, por motivos de segurança, deixaram os sistemas Windows e adoptaram Sistemas Operativos GNU/Linux.