FBI e NSA descobrem novo malware Linux chamado Drovorub

Claylson Martins

Um novo malware desenvolvido por hackers russos especialmente para Linux acaba de ser descoberto por pesquisadores do FBI e da NSA. Esses dois órgãos de inteligência norte-americanos emitiram um alerta conjunto hoje com todos os detalhes sobre um novo tipo de malware Linux.  Portanto, FBI e NSA descobrem o novo malware chamado Drovorub para Linux. Eles garantem ter sido desenvolvido e implantado por hackers militares da Rússia.

O malware Drovorub teria sido usado para plantar backdoors nas redes hackeadas. Então, com base nas evidências que as duas agências coletaram, oficiais do FBI e da NSA afirmam que o malware é obra de APT28 (Fancy Bear, Sednit).Este é um codinome dado aos hackers que operam na unidade militar 26165 da Diretoria Principal de Inteligência do Estado-Maior Russo (GRU) 85º Centro Principal de Serviços Especiais (GTsSS).

Por meio do alerta conjunto, as duas agências esperam aumentar a conscientização nos setores público e privado dos EUA. Assim, eles esperam que administradores de TI possam implementar rapidamente regras de detecção e medidas de prevenção.

Drovorub seria o canivete suíço do APT28 para hackear Linux

De acordo com as duas agências, Drovorub é um sistema multicomponente. Ele vem com um implante, um rootkit de módulo de kernel e uma ferramenta de transferência de arquivos. Além disso, tem um módulo de encaminhamento de porta e um servidor de comando e controle (C2).

Drovorub é um ‘canivete suíço’ de capacidades que permite ao atacante executar muitas funções diferentes, como roubar arquivos e controlar remotamente o computador da vítima, disse o CTO da McAfee, Steve Grobman.

Além dos vários recursos do Drovorub, ele foi projetado para ser furtivo, utilizando tecnologias avançadas de ‘rootkit’ que dificultam a detecção, acrescentou o executivo da McAfee. O elemento furtivo permite que os operadores implantem o malware em muitos tipos diferentes de alvos, permitindo um ataque a qualquer momento.

Imagem: FBI e NSA

Os Estados Unidos são um ambiente rico em alvos para ataques cibernéticos em potencial. Os objetivos de Drovorub não foram mencionados no relatório, mas podem variar de espionagem industrial a interferência eleitoral, disse Grobman.

Os detalhes técnicos divulgados hoje pela NSA e FBI no conjunto de ferramentas Drovorub do APT28 são altamente valiosos para os defensores cibernéticos nos Estados Unidos.

FBI e NSA descobrem novo malware Linux chamado Drovorub

Para evitar ataques, a agência recomenda que as organizações dos EUA atualizem qualquer sistema Linux para uma versão do kernel versão 3.7 ou posterior. Assim, isso deve ser feito “para aproveitar ao máximo a aplicação de assinatura do kernel”. Este é um recurso de segurança que evitaria que hackers APT28 instalassem o rootkit de Drovorub.

O alerta de segurança conjunta [PDF] contém orientações para executar a Volatilidade, sondar o comportamento de ocultação de arquivos, regras do Snort e regras da Yara – todos úteis para implantar medidas de detecção adequadas.

Alguns detalhes interessantes do alerta de segurança de 45 páginas:

  • O nome Drovorub é o nome que o APT28 usa para o malware, e não aquele atribuído pela NSA ou FBI.
  • O nome vem de drovo, que se traduz como “firewood” ou “wood” e  rub, que se traduz como “to fell”, or “to chop.”.
  • O FBI e a NSA disseram que conseguiram vincular Drovorub ao APT28 depois que os hackers russos reutilizaram servidores em diferentes operações. Por exemplo, as duas agências afirmam que Drovorub está conectado a um servidor C&C que foi usado anteriormente para operações APT28 destinadas a dispositivos IoT em 2019. O endereço IP foi documentado anteriormente pela Microsoft.

ZDNet

Share This Article
Sair da versão mobile