на секлабе: http://www.securitylab.ru/news/462886.php

Статья на arstechnica: http://arstechnica.com/security/2014/12/powerful-highly-stealthy-linux-trojan...

отчеты Касперского:

(1) https://securelist.com/blog/research/67962/the-penquin-turla-2/

(2) http://securelist.com/analysis/publications/65545/the-epic-turla-operation/

Чтение касперского показало такую картину:

1) вирус запускает сниффер tcpdump/PCAP на сетевом интерфейсе и ждет «магического пакета» TCP

2) при получении, активирует backdoor для ip адреса, с которого пришёл магический пакет.

3) якобы права root вирус не требует.

ВНИМАНИЕ, ВОПРОС: возможно ли с правами обычного пользователя запустить сниффер?