Nach Meldungen des Sicherheitsexperten Kaspersky, wurde ein Linux – Trojaner gefunden, der im Rahmen der Epic Snake und Turla Angriffswelle Militär und Firmen in Europa und dem Nahen Osten ausspioniert habe, vermutlich staatlich finanziert.
Die Linux-Version des Trojaners ist für 32-Bit-Systeme geschrieben und bringt die Bibliotheken glibc, OpenSSL und libpcap mit, die im Code statisch verlinkt wurden. Sie basiert laut Kaspersky auf 14 Jahre altem Proof-of-Concept-Quellen namens Cd00r. Kaspersky beschreibt den Trojaner als schwer zu entdecken und behauptet, er könne viele seiner Funktionen ausführen, ohne auf Root-Rechte angewiesen zu sein. Wie heise.de berichtete mutmaßt Kaspersky, dass der Trojaner jahrelang aktiv gewesen sei, bevor die Forscher ihn entdeckten – kann das nach eigenen Angaben aber nicht belegen. Auch scheint der Schadcode im Vergleich zu seinem Windows-Pendant nicht sonderlich weit verbreitet gewesen zu sein. Bisher berichtet Kaspersky von zwei gefundenen Samples, also kann man kaum von einer massenhaften Verbreitung ausgehen. Außerdem ist nicht klar, welche Gefahr der Trojaner darstellt, wenn er ohne Root-Rechte ausgeführt wird.
