Le FBI et la NSA ont dévoilé les portes dérobées de l’usine Drovorub Malware à l’intérieur d’un réseau piraté

Le nouveau logiciel malveillant Linux «Drovorub» a été étudié par des chercheurs en sécurité du FBI et de la NSA. Les deux agences ont déclaré dans leur «Alerte de sécurité conjointe» que des attaquants russes utilisaient ce malware pour implanter des portes dérobées à l’intérieur de réseaux piratés.

Les responsables du FBI (Federal Bureau of Investigation) et de la NSA (National Security Agency) ont tous deux déjà confirmé sur la base de preuves d’attaque et affirment que le Drovorub Malware est l’œuvre d’APT28 (Fancy Bear, Sednit), un nom de code donné aux attaquants opérant. de l’unité militaire 26165 de la direction générale du renseignement de l’état-major général russe (GRU) 85e centre spécial (GTsSS).

Qu’est-ce que Droborub Malware?

Le client «Drovorub» offre la possibilité de communications directes avec l’infrastructure C2 contrôlée par l’acteur, la capacité de téléchargement et de téléchargement de fichiers, l’exécution de commandes arbitraires en tant que «racine» et la redirection de port du trafic réseau vers d’autres hôtes sur le réseau. Cet ensemble d’outils malveillants Linux se compose d’un implant couplé à un rootkit de module de noyau, un outil de transfert de fichiers et de transfert de port et un serveur de commande et de contrôle (C2).

Le rootkit du module du noyau utilise une grande variété de moyens pour se cacher et s’implanter sur les périphériques infectés et persiste via le redémarrage d’une machine infectée à moins que le démarrage sécurisé UEFI ne soit activé en mode «FULL» ou «Thorough».

Swiss Army Knife: malware multi-composants

Comme indiqué ci-dessus, ce nouveau malware consiste en implant, un outil de transfert de fichiers, un module de redirection de port, un serveur de commande et de contrôle (C2) et un rootkit de module noyau. Un «Rootkit» est défini comme des morceaux de code malveillant qui obtiennent l’accès root à la machine infectée en obtenant le privilège d’administrateur sur le système.

Une fois que les attaquants derrière ce malware ont accès au réseau de la victime, il commence à effectuer plusieurs tâches, y compris l’enregistrement de frappe, le vol de fichiers, et désactiver l’antivirus ou tout autre logiciel de sécurité et héberger les autres opérations favorisées par les groupes parrainés par l’État.

«Drovorub Malware» en tant que rootkit permet au malware de se charger au démarrage, ce qui ajoute encore plus de persistance dans le réseau infecté et d’autres variantes de malware qui peuvent provoquer le redémarrage automatique du système ciblé plusieurs fois.

Le FBI et la NSA ont rapporté que Drovorub Malware cible les organisations en Amérique du Nord

Le rapport publié par les deux agences ne mentionne aucun objectif spécifique. Mais on peut supposer que les origines en Amérique du Nord seront la cible des attaquants derrière ces campagnes de malware. En raison de la nature furtive et utilitaire du malware, ce malware malveillant peut être utilisé dans le cyberespionnage et l’interférence électorale. Jetons un œil à la déclaration de Redmond IT Gaint:

«L’enquête a révélé qu’un acteur avait utilisé ces appareils pour obtenir un accès initial aux réseaux d’entreprise. Dans deux des cas, les mots de passe des appareils ont été déployés sans changer les mots de passe du fabricant par défaut et dans le troisième cas, la dernière mise à jour de sécurité n’avait pas été appliquée à l’appareil. Après avoir accédé à chacun des appareils IoT, l’acteur a exécuté tcpdump pour détecter le trafic réseau sur les sous-réseaux locaux. Ils ont également été vus en train de dénombrer des groupes administratifs pour tenter une nouvelle exploitation. Au fur et à mesure que l’acteur passait d’un appareil à un autre, il supprimait un simple script shell pour établir la persistance sur le réseau, ce qui permettait à un accès étendu de continuer à chasser. »

Le FBI et la NSA ont mentionné des mesures préventives

«En plus de l’attribution de la NSA et du FBI au GTsSS, l’infrastructure opérationnelle de commande et de contrôle Drovorub a été associée à la cyber-infrastructure opérationnelle GTsSS connue du public. Par exemple, le 5 août 2019, Microsoft Security Response Center a publié des informations liant l’adresse IP 82.118.242.171 à l’infrastructure Strontium dans le cadre de l’exploitation des appareils de l’Internet des objets (IoT) en avril 2019 (Microsoft Security Response Center, 2019) (Microsoft, 2019) La NSA et le FBI ont confirmé que cette même adresse IP était également utilisée pour accéder à l’adresse IP du Drovorub C2 185.86.149.125 en avril 2019. »

Rapport publié par les deux agences américaines dans les détails concernant les détails techniques du malware. Il comprend des conseils pour l’exécution de la détection d’un comportement de masquage de fichier, des règles de reniflement, de la volatilité, des règles Yara permettant à l’administrateur de développer des méthodes de détection appropriées et de protéger le réseau. Lorsque nous parlons de mesures préventives, les deux agences ont mentionné que les administrateurs devraient mettre à jour Linux Kernal vers la version 3.7 ou ultérieure et que l’administrateur devrait configurer les systèmes de manière à ce que leur système charge les modules avec une signature numérique valide.

Nous effectuons des recherches très approfondies sur le sujet et nous publierons avec défi une mise à jour si elle viendra à l’avenir. Si vous avez des suggestions ou des questions concernant «Drovorub Malware», veuillez écrire dans la boîte de commentaires ci-dessous.