Следующая новость
Предыдущая новость

ФБР и АНБ обнаружили Linux-малварь Drovorub, якобы созданную российскими спецслужбами

14.08.2020 18:22
ФБР и АНБ обнаружили Linux-малварь Drovorub, якобы созданную российскими спецслужбами

Рекомендуем почитать:

Xakep #255. Атаки на Windows

  • Содержание выпуска
  • Подписка на «Хакер»

ФБР и АНБ опубликовали совместное предупреждение, изобилующее техническими подробностями, в котором рассказали о малвари Drovorub, ориентированной на Linux-системы и предназначенной для создания бэкдоров.

По мнению исследователей, эта малварь была создана российскими хакерами из группировки APT28 (она же Fancy Bear, Strontium, Pawn Storm, Sofacy и так далее), которую исследователи давно связывают с российскими спецслужбами, а именно с 85-м главным центром специальной службы ГРУ.

Представители ФБР и АНБ утверждают, что им удалось связать Drovorub с APT28 благодаря тому, что хакеры повторно используют одни и те же серверы для различных операций. Так, Drovorub подключается к управляющему серверу, который в 2019 году уже использовался для атак, нацеленных на IoT-устройства. Тогда IP-адрес этого сервера был задокументирован специалистами Microsoft.

Drovorub представляет собой многокомпонентную систему, которая поставляется с имплантатом, руткитом в виде модуля ядра, инструментом для передачи файлов, модулем переадресации портов и управляющим сервером.

ФБР и АНБ обнаружили Linux-малварь Drovorub, якобы созданную российскими спецслужбами

«Drovorub — это “швейцарский нож”, который позволяет злоумышленниками выполнять множество различных операций, включая хищение файлов и удаленное управление компьютером жертвы, — комментируют специалисты компании McAfee. — Он был создан для скрытной работы и для этого использует руткиты, затрудняющие обнаружение».

Чтобы обезопасить себя от Drovorub, американские правоохранители рекомендуют организациям в США обновить системы до версии с ядра Linux 3.7 или более поздней, чтобы принудительная проверка подписей ядра и модулей мешали работе Drovorub. Также в 45-страничном документе содержатся руководство по запуску Volatility, правила Snort и Yara и другая полезная для обнаружения возможной компрометации информация.

Интересно, что название Drovorub малвари дали не исследователи, а сами хакеры. Известный ИБ-специалист Дмитрий Альперович, давно занимающийся изучением российских хакерских кампаний, напоминает, что «дрова» на русскоязычном сленге – это драйверы, и название следует трактовать именно в этом ключе.

Re: malware name “Drovorub”, which as @NSACyber points out translates directly as “woodcutter”
However, more importantly, “Drova” is slang in Russian for “drivers”, as in kernel drivers. So the name likely was chosen to mean “(security) driver slayer" https://t.co/yToULwp3xw

— Dmitri Alperovitch (@DAlperovitch) August 13, 2020

Источник

Последние новости