Um novo malware desenvolvido por hackers russos especialmente para Linux acaba de ser descoberto por pesquisadores do FBI e da NSA. Esses dois órgãos de inteligência norte-americanos emitiram um alerta conjunto hoje com todos os detalhes sobre um novo tipo de malware Linux. Portanto, FBI e NSA descobrem o novo malware chamado Drovorub para Linux. Eles garantem ter sido desenvolvido e implantado por hackers militares da Rússia.
O malware Drovorub teria sido usado para plantar backdoors nas redes hackeadas. Então, com base nas evidências que as duas agências coletaram, oficiais do FBI e da NSA afirmam que o malware é obra de APT28 (Fancy Bear, Sednit).Este é um codinome dado aos hackers que operam na unidade militar 26165 da Diretoria Principal de Inteligência do Estado-Maior Russo (GRU) 85º Centro Principal de Serviços Especiais (GTsSS).
Por meio do alerta conjunto, as duas agências esperam aumentar a conscientização nos setores público e privado dos EUA. Assim, eles esperam que administradores de TI possam implementar rapidamente regras de detecção e medidas de prevenção.
Drovorub seria o canivete suíço do APT28 para hackear Linux
De acordo com as duas agências, Drovorub é um sistema multicomponente. Ele vem com um implante, um rootkit de módulo de kernel e uma ferramenta de transferência de arquivos. Além disso, tem um módulo de encaminhamento de porta e um servidor de comando e controle (C2).
Drovorub é um ‘canivete suíço’ de capacidades que permite ao atacante executar muitas funções diferentes, como roubar arquivos e controlar remotamente o computador da vítima, disse o CTO da McAfee, Steve Grobman.
Além dos vários recursos do Drovorub, ele foi projetado para ser furtivo, utilizando tecnologias avançadas de ‘rootkit’ que dificultam a detecção, acrescentou o executivo da McAfee. O elemento furtivo permite que os operadores implantem o malware em muitos tipos diferentes de alvos, permitindo um ataque a qualquer momento.
Os Estados Unidos são um ambiente rico em alvos para ataques cibernéticos em potencial. Os objetivos de Drovorub não foram mencionados no relatório, mas podem variar de espionagem industrial a interferência eleitoral, disse Grobman.
Os detalhes técnicos divulgados hoje pela NSA e FBI no conjunto de ferramentas Drovorub do APT28 são altamente valiosos para os defensores cibernéticos nos Estados Unidos.
FBI e NSA descobrem novo malware Linux chamado Drovorub
Para evitar ataques, a agência recomenda que as organizações dos EUA atualizem qualquer sistema Linux para uma versão do kernel versão 3.7 ou posterior. Assim, isso deve ser feito “para aproveitar ao máximo a aplicação de assinatura do kernel”. Este é um recurso de segurança que evitaria que hackers APT28 instalassem o rootkit de Drovorub.
O alerta de segurança conjunta [PDF] contém orientações para executar a Volatilidade, sondar o comportamento de ocultação de arquivos, regras do Snort e regras da Yara – todos úteis para implantar medidas de detecção adequadas.
Alguns detalhes interessantes do alerta de segurança de 45 páginas:
- O nome Drovorub é o nome que o APT28 usa para o malware, e não aquele atribuído pela NSA ou FBI.
- O nome vem de drovo, que se traduz como “firewood” ou “wood” e rub, que se traduz como “to fell”, or “to chop.”.
- O FBI e a NSA disseram que conseguiram vincular Drovorub ao APT28 depois que os hackers russos reutilizaram servidores em diferentes operações. Por exemplo, as duas agências afirmam que Drovorub está conectado a um servidor C&C que foi usado anteriormente para operações APT28 destinadas a dispositivos IoT em 2019. O endereço IP foi documentado anteriormente pela Microsoft.
ZDNet