FBI 和 NSA 联合发布安全警告,详细披露了据称是俄罗斯军事黑客开发并部署在真实攻击活动中的Linux 新型恶意软件 Drovorub。据称该恶意软件用于在被黑网络中植入后门。
FBI 和 NSA 指出,Drovorub 出自 APT28(Fancy Bear 或 Sednit)之手,即俄罗斯总参谋部情报总局(GRU,格鲁乌)第85主要特种服务中心 (GTsSS) 第26165分队。它们表示发出警告的原因是提高美国民营和公共部门的意识,帮助 IT 管理员快速部署检测规则和防御措施。
FBI 和 NSA 表示,Drovorub 是多组件系统,包含一个植入、一个内核模块 rootkit、一个文件传输工具、一个端口转发模块和一个命令和控制服务器。McAfee 公司的首席技术官 Steve Brobman 认为,“Drovorub 具有瑞士军刀的能力,可导致攻击者执行多种功能如窃取文件并远程控制受害者的计算机。除了多种能力外,它利用高级的 rootkit 技术使检测变得更加困难。这种隐秘性可使操纵者在多种不同类型的目标中植入恶意软件,随时发动攻击。”Grobman 表示,“美国是潜在网络攻击的目标。Drovorub 的目标并非在报告中提到,但可能包括工业间谍到选举干涉等等方面不一而足。NSA 和 FBI 发布的技术详情对于美国的网络防御人员而言具有很高的价值。”为阻止这些攻击活动,FBI 和 NSA 加以美国组织机构将任何 Linux 系统更新至运行内核版本 3.7 或后续版本,“以充分利用内核签名执行”特性,它将阻止 APT 28 黑客安装 Drovorub 的 rootkit。这份联合安全警告中HIA包含运行 Volatility、探查文件隐藏行为、Snort 规则和 Yara 规则的指南,目的都是为了部署正确的检测措施。“Drovorub”这一名称是 APT28 为恶意软件起的,而不是 NSA 或 FBI 分配的。
该名称源自 drovo 和 rub,前者意思是“柴火”或“木头”,后者是“倒下”或“砍倒”。
FBI 和 NSA 表示它们是在俄罗斯黑客在多次攻击活动中复用服务器后将该恶意软件和 APT28 联系在一起的。例如,它们声称APT28 在2019年春攻击物联网设备时使用的C2服务器和 Drovorub 连接。微软曾记录了相关的IP地址。
https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~