卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种，它的主要攻击目标是Linux系统，因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台上之后，研究人员才注意到它并开始调查。

史上最复杂的APT(高级持续性威胁)间谍软件

间谍软件是恶意程序的一种，能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能力;使用用户的系统资源，包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。鉴于间谍软件的巨大危害，一旦它入侵政府或军方的计算机，其后果将不堪设想。

Turla被认为是历史上最复杂的APT(高级持续性威胁)间谍软件。

Turla由BAE的研究员首次发现，研究人员认为它由俄罗斯网络专家开发，并且很可能是莫斯科政府网络武器(cyber weapon)计划的一部分。安全研究人员还发现该恶意程序与之前的Uroburos病毒(一个用于网络间谍活动的恶意程序)存在关联。

走近企鹅Turla

企鹅Turla程序由C语言和C++语言编写，由于连接了多个库，所以它的文件体积明显增大。攻击者除去了带有符号信息的代码，这大大增加了安全专家分析该程序的难度。和其他Turla变种一样，企鹅Turla也可以隐藏网络通信，任意执行远程命令和远程控制受害者机器。

企鹅Turla大量使用了开源的静态链接库，包括glibc2.3.2、openssl v0.9.6 和libpcap。企鹅Turla并不需要使用root权限即可以执行攻击命令，同时难以被发现，不会被Linux上管理工具(命令)netstat探测到。也就是说，即使用户在启动该程序时限制了系统权限，企鹅Turla仍然可以继续截断数据包和执行恶意操作。

除此之外，研究人员还在Penquin Turla中发现了硬编码的控制与命令(C&C)服务器地址——news-bbc.podzone[.]org。

不断增强的新变种

企鹅Turla这种Turla新变种集成了当前各种资源，攻击者们对其添加了新的功能，除去了旧版本中的老代码。因此其攻击能力也有所增强。

安全研究人员们指出，当前肯定还有很多的Turla地下工具还没有被发现。这些恶意程序正被政府资助的攻击者们用于窃取世界各国政府机构、大使馆、军方、研究机构和制药公司的机密信息。

360安全播报在此建议重要部门和企业的Linux系统管理员尽快自查是否感染了Linux版图兰木马，方法很简单：

1.检查出站流量中是否包含以下链接或地址：news-bbc.podzone[.]org or 80.248.65.183，这是目前已经发现的Linux版图兰木马硬编码的命令控制服务器地址。

2.系统管理员还可以使用开源恶意软件研究工具YARA生成证书，并检测其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”两个字符串。

(责任编辑：冬天的宇)