Η NSA εξέδωσε προειδοποίηση για έναν νέο γύρο κυβερνοεπιθέσεων από τη Ρωσία. Αυτή τη φορά, η GRU (Główny Zarząd Wywiadowczy, η Γενική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας) στοχεύει μηχανές Linux.
Για να ενορχηστρώσει τις επιθέσεις, η GRU χρησιμοποιεί μια σουίτα κακόβουλου λογισμικού που ονομάζεται Drovorub. Η σουίτα αποτελείται από τέσσερις ενότητες και χρησιμοποιεί μια ποικιλία τεχνικών για να κρυφτεί και να αποφύγει τον εντοπισμό.
Η Εθνική Υπηρεσία Ασφαλείας δεν λέει για πόσο καιρό κυκλοφορεί το κακόβουλο λογισμικό, αλλά επισημαίνει ότι η ρωσική GRU 85η GTsSS που είναι υπεύθυνη για την ανάπτυξή του, έχει δει ότι λειτουργεί με διάφορα ονόματα, συμπεριλαμβανομένων των Fancy Bear, APT28 και Strontium. Το Drovorub αφορά όχι μόνο λόγω των βημάτων που χρειάζεται για να κρυφτεί, αλλά και για τα προνόμια επιπέδου root που μπορεί να αποκτήσει.
Η NSA περιγράφει το κακόβουλο λογισμικό:
Το Drovorub είναι ένα σετ εργαλείων κακόβουλου λογισμικού Linux που αποτελείται από ένα εμφύτευμα σε συνδυασμό με ένα rootkit module πυρήνα, ένα εργαλείο μεταφοράς αρχείων και προώθησης θύρας και έναν διακομιστή Command and Control (C2). Όταν αναπτύσσεται στο μηχάνημα θύμα, το εμφύτευμα Drovorub (πελάτης) παρέχει τη δυνατότητα άμεσης επικοινωνίας με την υποδομή C2 ελεγχόμενη από τον ενδιάμεσο (T1071.0011), με δυνατότητες λήψης και μεταφόρτωσης αρχείων (T1041), εκτέλεση αυθαίρετων εντολών ως “root” (T1059.004) και προώθηση θυρών της κίνησης δικτύου σε άλλους κεντρικούς υπολογιστές στο δίκτυο (T1090). Το rootkit της μονάδας του πυρήνα χρησιμοποιεί μια ποικιλία μέσων για να κρύψει τον εαυτό του και το εμφύτευμα, σε μολυσμένες συσκευές (T1014), και συνεχίζεται μέσω της επανεκκίνησης ενός μολυσμένου μηχανήματος, εκτός εάν η ασφαλής εκκίνηση UEFI είναι ενεργοποιημένη σε λειτουργία “Πλήρης” ή “Ολοκληρωμένη”.
Συνιστάται στους διαχειριστές συστήματος να κάνουν αναβάθμιση σε Linux Kernel 3.7 ή μεταγενέστερη έκδοση, προκειμένου να αποφευχθεί η πιθανότητα επίθεσης, καθώς και να ληφθούν προφυλάξεις για να διασφαλιστεί ότι φορτώνονται μόνο μονάδες με έγκυρες ψηφιακές υπογραφές.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στη συμβουλευτική ανακοίνωση της NSA.
[signoff]
Πηγή: https://betanews.com/
