Agenția de Securitate Națională (NSA) și Biroul Federal de Investigații (FBI) au lansat pentru consultare un nou document privind securitatea cibernetică care conţine date despre un malware rusesc “Drovorub” neîntâlnit anterior.
Conform acestuia, Unitatea militară 26165 a GRU, a cărei activitate este uneori identificată de sectorul privat ca Fancy Bear, Strontium sau APT 28, implementează un malware numit Drovorub, conceput pentru sistemul de operare Linux, ca parte a operațiunilor sale de spionaj cibernetic. Mai multe detalii despre acesta pot fi regăsite în documentul lansat de NSA.
“Acest avertisment de securitate cibernetică reprezintă o dimensiune importantă a misiunii noastre de cybersecurity, lansarea unei analize tehnice extinse privind amenințările specifice“, a declarat Anne Neuberger, directorul pentru securitate cibernetică a NSA. “Prin deconstruirea acestei capabilităţi și oferirea de atribuire, analiză și atenuare, sperăm să le permitem clienților, partenerilor și aliaților noștri să acționeze. Parteneriatul nostru profund cu FBI se reflectă în lansarea comună a acestui îndrumar complet.“
Drovorub este un set de instrumente malware Linux constând dintr-un implant cuplat cu un rootkit de kernel, un instrument de transfer de fișiere și redirecționare de porturi și un server de comandă și control (C2). Când este desfăşurat pe o mașină victimă, Drovorub oferă capacitatea de comunicare directă cu infrastructura C2 controlată de actor; capabilități de descărcare și încărcare a fișierelor; executarea comenzilor arbitrare; redirecționarea porturilor de trafic de rețea către alte gazde din rețea; și pune în aplicare tehnici de ascundere pentru a sustrage detectarea.
Drovorub reprezintă o amenințare pentru clienții sistemelor de securitate națională sau guvernamentale care utilizează sisteme Linux. Responsabilii cu securitatea rețelelor și administratorii de sistem pot găsi în documentul respectiv strategii de detecție, tehnici de atenuare și recomandări de configurare pentru a reduce riscul de compromitere.
Referitor la acest malware, dezvoltatorii Linux au făcut o serie de referiri într-un articol legat de această ameninţare. Relevant pentru utilizatorul de rând este faptul că Drovorub este un malware şi nu reprezintă un exploit în sine, deci atacatorii au nevoie să obţină privilegii root (de administrare) folosind altă vulnerabilitate pentru a putea să instaleze cu succes pachetul de programe.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.