L’FBI e la NSA hanno esposto le backdoor dell’impianto di malware Drovorub all’interno della rete compromessa

Il nuovo malware per Linux “Drovorub” è stato studiato da ricercatori congiunti di sicurezza dell’FBI e della NSA. Entrambe le agenzie hanno affermato nel loro “Avviso di sicurezza congiunto” che gli aggressori russi hanno utilizzato questo malware per installare backdoor all’interno di reti compromesse.

I funzionari dell’FBI (Federal Bureau of Investigation) e della NSA (National Security Agency) hanno entrambi già confermato sulla base di prove di attacco e affermano che il Drovorub Malware è opera di APT28 (Fancy Bear, Sednit), un nome in codice dato agli aggressori che agiscono di unità militare 26165 dell’85 ° centro speciale (GTsSS) dello Stato maggiore russo Direzione principale dell’intelligence (GRU).

Cos’è Droborub Malware?

Il client “Drovorub” fornisce la capacità di comunicazioni dirette con l’infrastruttura C2 controllata dall’attore, capacità di download e upload di file, esecuzione di comandi arbitrari come “Root” e port forwarding del traffico di rete ad altri host sulla rete. Questo set di strumenti per il malware Linux composto da impianto accoppiato con il rootkit del modulo del kernel, uno strumento di trasferimento file e port forwarding e server Command and Control (C2).

Il rootkit del modulo Kernel utilizza molti mezzi per nascondersi e impiantarsi sui dispositivi infetti e persiste tramite il riavvio di una macchina infetta a meno che l’avvio protetto UEFI non sia abilitato in modalità “COMPLETA” o “Completa”.

Coltellino svizzero: malware multicomponente

Come discusso in precedenza, questo nuovo malware è costituito da impianto, uno strumento di trasferimento file, modulo di port forwarding, server di comando e controllo (C2) e rootkit del modulo del kernel. Un “rootkit” è definito come frammenti di codice dannoso che ottengono l’accesso root alla macchina infetta acquisendo privilegi di amministratore per il sistema.

Una volta che gli aggressori dietro questo malware ottengono l’accesso alla rete della vittima, inizia a eseguire diverse attività tra cui keylogging, furto di file e disabilitazione di antivirus o altri software di sicurezza e host delle altre operazioni preferite dai gruppi sponsorizzati dallo stato.

“Drovorub Malware” come rootkit consente al malware di caricarsi all’avvio, il che aggiunge ulteriore persistenza nella rete infetta e altre varianti di malware che possono causare il riavvio automatico del sistema mirato più volte.

FBI e NSA hanno riferito che Drovorub Malware prende di mira le organizzazioni in Nord America

Il rapporto pubblicato da entrambe le agenzie non menziona obiettivi specifici. Ma si può presumere che le origini in Nord America saranno l’obiettivo degli aggressori dietro queste campagne di malware. A causa della natura furtiva e utilitaristica del malware, questo brutto malware può essere utilizzato nello spionaggio informatico e nelle interferenze elettorali. Diamo un’occhiata alla dichiarazione di Redmond IT Gaint:

“L’indagine ha scoperto che un attore aveva utilizzato questi dispositivi per ottenere l’accesso iniziale alle reti aziendali. In due dei casi, le password per i dispositivi sono state distribuite senza modificare le password predefinite del produttore e nella terza istanza l’ultimo aggiornamento di sicurezza non era stato applicato al dispositivo. Dopo aver ottenuto l’accesso a ciascuno dei dispositivi IoT, l’attore ha eseguito tcpdump per rilevare il traffico di rete nelle sottoreti locali. Sono stati anche visti enumerare gruppi amministrativi per tentare un ulteriore sfruttamento. Quando l’attore si spostava da un dispositivo all’altro, rilasciava un semplice script di shell per stabilire la persistenza sulla rete che consentiva un accesso esteso per continuare la caccia “,

FBI e NSA hanno menzionato misure preventive

“Oltre all’attribuzione di NSA e FBI a GTsSS, l’infrastruttura operativa di comando e controllo Drovorub è stata associata a un’infrastruttura informatica operativa GTsSS di pubblico dominio. Ad esempio, il 5 agosto 2019, il Microsoft Security Response Center ha pubblicato informazioni che collegano l’indirizzo IP 82.118.242.171 all’infrastruttura di Strontium in connessione con lo sfruttamento dei dispositivi Internet of Things (IoT) nell’aprile 2019 (Microsoft Security Response Center, 2019). (Microsoft, 2019) NSA e FBI hanno confermato che questo stesso indirizzo IP è stato utilizzato anche per accedere all’indirizzo IP Drovorub C2 185.86.149.125 nell’aprile 2019. “

Rapporto pubblicato da entrambe le agenzie statunitensi in grandi dettagli sui dettagli tecnici del malware. Include la guida per l’esecuzione di sondaggi per un comportamento che nasconde i file, regole snort, volatilità, regole Yara per l’amministratore per sviluppare metodi di rilevamento appropriati e proteggere la rete. Quando parliamo di misure preventive, entrambe le agenzie hanno affermato che gli amministratori dovrebbero aggiornare Linux Kernal alla versione 3.7 o successiva e l’amministratore dovrebbe configurare i sistemi in modo tale che il loro sistema carichi i moduli con una firma digitale valida.

Stiamo effettuando ricerche approfondite sull’argomento e pubblicheremo con aria di sfida un aggiornamento se arriverà in futuro. In caso di suggerimenti o domande riguardanti “Drovorub Malware”, scrivere nella casella dei commenti riportata di seguito.