FBI e NSA expõem malware Drovorub, o canivete suíço do APT28 para hackear Linux
O grupo de hackers de elite ligado ao estado da Rússia, Fancy Bear, está realizando uma operação de espionagem cibernética mais recente com um malware de alta capacidade projetado para infectar sistemas Linux.
O grupo de hackers de elite ligado ao estado da Rússia, Fancy Bear, está realizando uma operação de espionagem cibernética mais recente com um malware de alta capacidade projetado para infectar sistemas Linux.
Drovorub – Um canivete suíço
Um relatório recente com alerta de segurança conjunto do FBI e da NSA forneceu detalhes sobre um novo rootkit de módulo de kernel que vem apresentando recursos furtivos contra soluções de segurança em toda a rede.
- Drovorub é um pacote de malware multicomponente que vem com um implante, uma ferramenta de transferência de arquivos, um rootkit de módulo de kernel, um módulo de encaminhamento de porta e um servidor de comando e controle (C2).
- O malware Drovorub tira proveito de várias funções disponíveis para os Kernels do Linux anteriores à versão 3.7. Para dificultar que as soluções de segurança em toda a rede o detectem, o Drovorub também foi projetado para ser furtivo, utilizando técnicas avançadas de rootkit para obter privilégios de administrador.
As raízes russas
- De acordo com as duas agências, a cepa de malware Linux foi desenvolvida por hackers russos e implantada em ataques do mundo real para plantar backdoors em redes hackeadas.
- O malware foi atribuído ao 85º Centro Principal de Serviços Especiais (GTsSS) do Estado-Maior General Russo da Diretoria de Inteligência Principal (GRU), unidade militar 26165, também codinome APT28 (Fancy Bear).
Ataques APT28 recentes
Ativo desde 2007, o grupo APT28 lançou vários ataques cibernéticos recentemente e está procurando um ambiente rico em alvos.
- No final de julho, foi relatado que a APT28 realizou uma campanha de ataque contra o governo dos EUA e organizações do setor de energia , tentando invadir seus servidores de email, Office 365 e contas de email e servidores VPN.
- No final de março, especialistas em segurança descobriram que o grupo Fancy Bear fazia uma varredura na Internet para encontrar webmails vulneráveis e servidores Microsoft Exchange Autodiscover nas portas TCP 445 e 1433.
Detecção e prevenção
No comunicado lançado sobre Drovorub, a NSA recomendou instalar as últimas atualizações de segurança do Linux e executar versões atualizadas do software existente. A NSA também forneceu informações sobre técnicas de resposta ao vivo, análise de memória e técnicas de análise de imagem de disco como métodos para detectar e prevenir uma possível intrusão. Os usuários também podem ativar o mecanismo de verificação UEFI Secure Boot para permitir que apenas os módulos legítimos do kernel sejam carregados.
Acesse o relatório na íntegra:
