Catégories
Informatique

Le FBI et la NSA mettent en garde contre les logiciels malveillants russes sophistiqués Drovorub ciblant les systèmes Linux

linux gru drovorub

Le Federal Bureau of Investigation (FBI) des États-Unis et la National Security Administration (NSA) ont uni leurs forces pour avertir d'une nouvelle menace de cyberattaques provenant de Russie. Les deux agences de renseignement ont publié une analyse technique complète de ce qu'on appelle le malware Drovorub, qui cible les systèmes basés sur Linux.

Selon le livre blanc du FBI / NSA, Drovorub a été développé par la Direction générale du renseignement de l'état-major russe, mieux connue sous le nom de GRU. Le GRU a été responsable de nombreuses campagnes de cyberespionnage contre les États-Unis et leurs alliés et a contribué à tenter d'influencer l'élection présidentielle américaine de 2016. Dans le passé, nous avons vu GRU opérer sous les noms suivants: Strontium, ATP28 et Fancy Bear.

Dorovorub est un logiciel malveillant plutôt sophistiqué qui cherche à accéder au noyau Linux et tire son nom d '«artefacts» découverts par les chercheurs dans son code. En panne, «Drovo» se traduit par «bois de chauffage» en anglais, tandis que «Drub» signifie «hacher». Ainsi, Drovorub est essentiellement un "bûcheron". Cependant, le chercheur en sécurité Dmitri Alperovitch a une interprétation différente du nom:

Le livre blanc décrit ensuite Drovorub en écrivant:

Drovorub est un ensemble d'outils malveillants Linux composé d'un implant couplé à un rootkit de module de noyau, un outil de transfert de fichiers et de transfert de port, et un serveur de commande et de contrôle (C2). Lorsqu'il est déployé sur une machine victime, l'implant Drovorub (client) permet des communications directes avec l'infrastructure C2 contrôlée par l'acteur; capacités de téléchargement et de téléchargement de fichiers; exécution de commandes arbitraires en tant que "root"; et la redirection de port du trafic réseau vers d'autres hôtes sur le réseau.

Drovorub est capable de persister même après un redémarrage du système si un système a été infecté, bien que cela puisse être atténué si le démarrage sécurisé UEFI est défini sur les modes Complet ou Complet.

Le FBI et la NSA exhortent les administrateurs à mettre à niveau vers Linux Kernel 3.7 (ou version ultérieure) pour aider à atténuer les attaques Drovorub afin de tirer parti de l'application de la signature du noyau. Il est également suggéré que les administrateurs autorisent uniquement le chargement de modules avec une signature numérique valide, ce qui présentera un autre obstacle pour les mauvais acteurs.

Vous pouvez lire le livre blanc complet et incroyablement détaillé ici (PDF)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *