Une attaque sophistiquée, également connue sous le nom de Snake ou Uroburos, a été découverte en février dernier, mais le backdoor sévit depuis plusieurs années. L'opération massive, menée depuis la Russie, a infecté des ordinateurs appartenant à des organismes gouvernementaux, des ambassades, des installations militaires, des établissements universitaires et de recherche, et des laboratoires pharmaceutiques de plus de 45 pays. Ce malware pour Linux lié à Turla a été identifié récemment par un service d'analyse antivirus multimoteur. Les chercheurs en sécurité de Kaspersky Lab l'ont qualifié de « pièce jusqu'ici inconnue d'un plus grand puzzle ». Lundi dernier, ils ont écrit dans un blog que « tous les échantillons Turla identifiés jusque-là visaient uniquement les systèmes d'exploitation 32 et 64 bits Windows de Microsoft ». Ajoutant que « le nouvel échantillon Turla est inhabituel dans le sens où c'est la première fois que nous découvrons un malware associé à cette opération ciblant spécifiquement les systèmes d'exploitation Linux ». Le malware Turla pour Linux est basé sur un programme backdoor Open Source du nom de « cd00r » développé en 2000. Il permet à des attaquants d'exécuter des commandes arbitraires sur un système compromis, sans avoir besoin de privilèges élevés ou d'accès root pour fonctionner. Il répond à des commandes transmises par paquets TCP/UDP masqués, ce qui en fait un malware furtif. « L'outil d'administration habituel Netstat ne permet pas de le démasquer », ont déclaré les chercheurs de Kaspersky, qui analysent encore le mode opératoire du malware. « Nous pensons fortement que cette composante opère depuis des années, mais nous ne disposons pas actuellement de données concrètes pour en apporter la preuve », ont-ils reconnu. Depuis la mise en ligne de leur message, les chercheurs de Kaspersky ont également trouvé un second composant Turla pour Linux, mais il semblerait que cet autre malware soit indépendant du précédent.