NowościOprogramowanie

NSA i FBI ostrzegają, że nowe złośliwe oprogramowanie dla systemu Linux zagraża bezpieczeństwu narodowemu

NSA i FBI ostrzegają, że nowe złośliwe oprogramowanie dla systemu Linux zagraża bezpieczeństwu narodowemu

FBI i NSA opublikowały wspólny raport ostrzegający, że rosyjscy hakerzy państwowi używają nieznanego wcześniej złośliwego oprogramowania dla systemu Linux do potajemnej infiltracji wrażliwych sieci, kradzieży poufnych informacji i wykonywania złośliwych poleceń.

W raporcie, który jest niezwykły ze względu na szczegółowość szczegółów technicznych od agencji rządowej, urzędnicy stwierdzili, że złośliwe oprogramowanie Drovorub to w pełni funkcjonalny zestaw narzędzi, który do niedawna pozostawał niewykryty. Złośliwe oprogramowanie łączy się z serwerami dowodzenia i kontroli obsługiwanymi przez grupę hakerską pracującą dla GRU, rosyjskiej agencji wywiadu wojskowego, która jest związana z ponad dekadą bezczelnych i zaawansowanych kampanii, z których wiele wyrządziło poważne szkody bezpieczeństwu narodowemu.

„Informacje zawarte w niniejszym poradniku dotyczącym bezpieczeństwa cybernetycznego są ujawniane publicznie, aby pomóc właścicielom Systemu Bezpieczeństwa Narodowego i opinii publicznej przeciwdziałać zdolnościom GRU, organizacji, która w dalszym ciągu zagraża Stanom Zjednoczonym i sojusznikom USA w ramach swojego nieuczciwego zachowania, w tym ich ingerencji w wybory prezydenckie w USA w 2016 r., zgodnie z opisem w społeczności wywiadowczej w 2017 r Ocena, ocena działań i zamiarów Rosji w ostatnich wyborach w USA (Biuro Dyrektora Wywiadu Narodowego, 2017) ”- napisali przedstawiciele agencji.

Dyskretny, potężny i w pełni funkcjonalny

Zestaw narzędzi Drovorub zawiera cztery główne komponenty: klienta infekującego urządzenia z systemem Linux; moduł jądra korzystający z taktyk rootkitów w celu uzyskania trwałości i ukrycia swojej obecności przed systemami operacyjnymi i zabezpieczeniami; serwer działający na infrastrukturze zarządzanej przez atakującego w celu kontrolowania zainfekowanych maszyn i otrzymywania skradzionych danych; oraz agent, który wykorzystuje zainfekowane serwery lub maszyny kontrolujące napastników, aby działać jako pośrednik między zainfekowanymi maszynami a serwerami.

Rootkit to rodzaj złośliwego oprogramowania, które zagrzebuje się głęboko w jądrze systemu operacyjnego w sposób uniemożliwiający interfejsowi rejestrację złośliwych plików lub procesów, które uruchamiają. Wykorzystuje również szereg innych technik, aby infekcje były niewidoczne dla zwykłych form antywirusów. Drovorub dokłada również wszelkich starań, aby ukryć ruch przechodzący do i z zainfekowanej sieci.

Szkodliwe oprogramowanie działa z nieograniczonymi uprawnieniami roota, dając operatorom pełną kontrolę nad systemem. Zawiera pełne menu możliwości, co czyni go złośliwym odpowiednikiem szwajcarskiego scyzoryka.

Zabójca sterownika bezpieczeństwa

Urzędnicy rządowi powiedzieli, że Drovorub zawdzięcza swoją nazwę ciągom znaków pozostawionych przez nieumyślnie w kodzie. „Drovo” z grubsza oznacza „drewno” lub „drewno opałowe”, a „pocieranie” oznacza „upadek” lub „rąbanie”. Podsumowując, powiedział rząd, Drovorub oznacza „drwal” lub „rozłupać drewno”. Dmitri Alperovitch, badacz ds. Bezpieczeństwa, który większość swojej kariery spędził na badaniu rosyjskich kampanii hakerskich – w tym tej, która była wymierzona w DNC w 2016 roku – zaproponował inną interpretację.

„Re: nazwa złośliwego oprogramowania„ Drovorub ”, co, jak wskazuje @NSACyber, tłumaczy się bezpośrednio jako„ drwal ””, Alperovitch, współzałożyciel i były dyrektor techniczny firmy bezpieczeństwa CrowdStrike, napisał na Twitterze. „Jednak, co ważniejsze,„ Drova ”to po rosyjsku slang oznaczający„ sterowniki ”, podobnie jak w sterownikach jądra. Tak więc nazwa prawdopodobnie została wybrana tak, aby oznaczać „zabójcę (bezpieczeństwa) kierowców”.

W służbie narodowym interesom Rosji od ponad dziesięciu lat

Drovorub dodaje do już obfitego zbioru wcześniej znanych narzędzi i taktyk używanych przez APT 28, rosyjską wojskową grupę hakerską, którą inni badacze nazywają Fancy Bear, Strontium, Pawn Storm, Sofacy, Sednit i Tsar Team. Hacki grupy służą interesom rosyjskiego rządu i są wymierzone w kraje i organizacje, które Kreml uważa za przeciwników.

W sierpniu Microsoft poinformował, że grupa hakowała drukarki, dekodery wideo i inne tak zwane urządzenia Internetu rzeczy i wykorzystywała je jako przyczółek do penetracji sieci komputerowych, do których byli podłączeni. W 2018 roku badacze z grupy Cisco Talos odkryli infekcję ponad 500 000 routerów klasy konsumenckiej w 54 krajach, które mogą być następnie wykorzystane do szeregu niecnych celów.

Inne kampanie powiązane z APT 28 to:

Czwartkowy poradnik nie wskazał organizacji, na które kieruje Drovorub, ani nawet nie podał obszernych opisów celów lub obszarów geograficznych, w których się znajdują. Nie podano również, w jaki sposób hakerzy infekują serwery. Grupa często opiera się na złośliwym spamie lub atakach phishingowych, które infekują komputery lub kradną hasła celów. Wykorzystuje również luki na urządzeniach, które nie zostały załatane.

Wymagana lektura

Urzędnicy agencji powiedzieli, że kluczową obroną przed Drovorubem jest zapewnienie zainstalowania wszystkich aktualizacji zabezpieczeń. W poradniku zalecono również, aby serwery przynajmniej działały z jądrem Linuksa w wersji 3.7 lub nowszej, aby organizacje mogły korzystać z ulepszonych zabezpieczeń podpisywania kodu, które wykorzystują certyfikaty kryptograficzne w celu zapewnienia, że ​​aplikacja, sterownik lub moduł pochodzą ze znanego i zaufanego źródła. i nikt inny nie manipulował nim.

„Ponadto właścicielom systemów zaleca się konfigurowanie systemów tak, aby ładowały tylko moduły z prawidłowym podpisem cyfrowym, co utrudnia aktorowi wprowadzenie złośliwego modułu jądra do systemu” – stwierdził doradca. ”

Uwzględniono również reguły, które administratorzy sieci mogą podłączyć do systemów wykrywania włamań Yara i Snort, aby przechwytywać i zatrzymywać ruch sieciowy przechodzący do lub z serwerów kontrolnych lub oznaczać zaciemnione pliki lub procesy Drovoruba już uruchomione na serwerze.

45-stronicowy dokument zapewnia poziom szczegółów technicznych i rzetelnych analiz, który jest porównywalny z niektórymi z najlepszych badań przeprowadzonych przez prywatne firmy. Poradnik jest również pierwszym, który ujawnił istnienie tego nowego i zaawansowanego złośliwego oprogramowania. To są rzeczy, które rzadko są dostępne w poradnikach rządowych. Każdy zarządzający siecią powinien przeczytać raport.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook