باحثين أمنيين قاموا باكتشاف فيروس عالي الخطورة يستهدف نظام التشغيل لينكس، ويستخدم هذا الفيروس من قبل قراصنة الانترنت، الذين ترعاهم الحكومات، وحتى الآن تسبب هذا الفيروس، في تسريب معلومات شخصية، ومعلومات حساسة عن المؤسسات الحكومية، والمؤسسات العسكرية، وشركات الأدوية، حول العالم.
هذا الفيروس لم يكن معروف مسبقاً، ويسمى “Turla”، ويعد واحد من الفيروسات شديدة التعقيد، وعالية الخطورة، وتم اكتشافه من قبل باحثين أمنيين لدى “Kaspersky Lab” في أغسطس الماضي، ولأربع سنوات ظلت العديد من الأنظمة مصابة بهذا الفيروس، البرمجيات الخبيثة كانت ملحوظه لوقت قريب، ولكن بعد استخدام الـ RootKit، أصبح اكتشافها أمراً صعباً.
شركة G Data الألمانية، والمتخصصة في أمن المعلومات، صرحت أنه من المحتمل أن تكون روسيا خلف هذا الفيروس، والتي قامت سابقاً باستغلال مجموعة متنوعة من ثغرات الويندوز، على الأقل اثنين zero-day على حد تعبيرها، واستهدفت بالفعل العديد من المؤسسات الحكومية، السفارات، المؤسسات العسكرية، المؤسسات التعليمية، المؤسسات البحثية، وأخيراً المؤسسات الطبية، أكثر من 45 دولة، حول العالم.
ومؤخرا، قام باحثين أمنيين من شركة “Kasbersky Lab”، الكائنة بموسكو، باكتشاف العينة الأولى من Turla، التي تستهدف نظام التشغيل “لينكس”. والذين أكدوا أن تكون الفيروس الذي يستخدف لينكس شديد التعقيد، والخطورة، وصعب الاكتشاف، أكثر من المعتقد.
نموذج Turla، الذي يستهدف نظام لينكس تم كتابته بلغة الـ c,c++، ويحتوي على شفرة برمجية من المكتبات السابقة. Turla يقوم باستخدام شبكة اتصالات خفية ومجردة من المعلومات، والتي جعلت من الصعب على الباحثين الأمنيين تحليله باستخدام الهندسة العكسية.
ونتيجة لذلك، فإن فيروس Turla، الذي يقوم باستهداف نظام التشغيل “لينكس”، ربما يمتلك قدرات لم يستطيع الباحثين الكشف عنها حتى الآن.
ومن أجل إخفاء الفيروس، يظل الباكدور غير نشط حتى يقوم القراصنة بإرسال حزمة من البيانات معدة مسبقاً بطريقة معينة، وتحتوي على ما سماه الباحثين بالـ “magic number”، في أرقام التسلسل الخاصة بالحزمة.
الفيروس لديه القدرة على التخفي، وعدم ملاحظته من قبل الضحية، لعدة سنوات. كما يحتوي على وظائف هجومية تشمل (Remote Command Execution, Remote Management) وذلك دون أن يتطلب الأمر صلاحيات الرووت.
