FBI i NSA ujawniły Drovorub Malware fabrykę Backdoory wewnątrz zhakowanej sieci

Nowe złośliwe oprogramowanie dla systemu Linux „Drovorub” zbadało wspólnie badacze bezpieczeństwa z FBI i NSA. Obie agencje stwierdziły w swoim „Joint Security Alert”, że rosyjscy napastnicy wykorzystali to złośliwe oprogramowanie do umieszczania backdoorów w zhakowanych sieciach.

Urzędnicy FBI (Federal Bureau of Investigation) i NSA (National Security Agency) potwierdzili już na podstawie dowodów ataku i twierdzą, że Drovorub Malware to dzieło APT28 (Fancy Bear, Sednit), kryptonim nadany atakującym jedności wojskowej 26165 rosyjskiego Sztabu Generalnego Głównego Zarządu Wywiadu (GRU) 85. Ośrodek Specjalny (GTsSS).

Co to jest złośliwe oprogramowanie Droborub?

Klient „Drovorub” zapewnia możliwość bezpośredniej komunikacji z infrastrukturą C2 kontrolowaną przez aktorów, możliwość pobierania i wysyłania plików, wykonywania dowolnych poleceń jako „Root” i przekierowania ruchu sieciowego do innych hostów w sieci. Ten zestaw narzędzi szkodliwego oprogramowania dla systemu Linux składający się z implantu połączonego z rootkitem modułu jądra, narzędzia do przesyłania plików i przekierowania portów oraz serwera dowodzenia i kontroli (C2).

Rootkit modułu jądra wykorzystuje różnorodne sposoby, aby ukryć się i wszczepić na zainfekowanych urządzeniach i utrzymuje się poprzez ponowne uruchomienie zainfekowanej maszyny, chyba że bezpieczny rozruch UEFI jest włączony w trybie „PEŁNY” lub „Dokładny”.

Swiss Army Knife: wieloskładnikowe złośliwe oprogramowanie

Jak wspomniano powyżej, to nowe złośliwe oprogramowanie składa się z implantu, narzędzia do przesyłania plików, modułu przekierowania portów, serwera poleceń i kontroli (C2) oraz rootkita modułu jądra. „Rootkit” definiuje się jako fragmenty złośliwego kodu, które uzyskują uprawnienia administratora do zainfekowanej maszyny poprzez uzyskanie uprawnień administratora systemu.

Gdy osoby atakujące stojące za tym złośliwym oprogramowaniem uzyskają dostęp do sieci ofiary, zaczyna ono wykonywać kilka zadań, w tym rejestrowanie kluczy, kradzież plików i wyłączanie oprogramowania antywirusowego lub innego oprogramowania zabezpieczającego, a także obsługuje inne operacje preferowane przez grupy sponsorowane przez państwo.

„Drovorub Malware” jako rootkit pozwala złośliwemu oprogramowaniu ładować się po uruchomieniu, co dodatkowo zwiększa trwałość w zainfekowanej sieci i innych wariantach złośliwego oprogramowania, które mogą powodować automatyczne kilkakrotne ponowne uruchamianie atakowanego systemu.

FBI i NSA poinformowały, że Drovorub Malware atakuje organizacje w Ameryce Północnej

Raport wydany przez obie agencje nie wymienia żadnych konkretnych celów. Można jednak założyć, że źródła w Ameryce Północnej będą celem ataków stojących za kampaniami złośliwego oprogramowania. Ze względu na ukryty i utylitarny charakter złośliwego oprogramowania, to paskudne złośliwe oprogramowanie może być wykorzystywane do cyberszpiegostwa i ingerencji w wybory. Rzućmy okiem na oświadczenie Redmond IT Gaint:

„Dochodzenie wykazało, że aktor użył tych urządzeń do uzyskania wstępnego dostępu do sieci korporacyjnych. W dwóch przypadkach hasła do urządzeń zostały wdrożone bez zmiany domyślnych haseł producenta, aw trzecim przypadku nie zastosowano najnowszej aktualizacji zabezpieczeń na urządzeniu. Po uzyskaniu dostępu do każdego z urządzeń IoT aktor uruchomił tcpdump, aby wykryć ruch sieciowy w lokalnych podsieciach. Widywano ich również, jak wyliczali grupy administracyjne, aby próbować dalej wykorzystywać. Gdy aktor przenosił się z jednego urządzenia na drugie, upuszczał prosty skrypt powłoki, aby ustanowić trwałość w sieci, co umożliwiło rozszerzony dostęp do kontynuowania poszukiwań ”.

FBI i NSA wspomniały o środkach zapobiegawczych

„Oprócz przypisywania GTsSS przez NSA i FBI, operacyjna infrastruktura dowodzenia i kontroli Drovorub została powiązana z publicznie znaną operacyjną cyber infrastrukturą GTsSS. Na przykład 5 sierpnia 2019 roku Microsoft Security Response Center opublikował informacje łączące adres IP 82.118.242.171 z infrastrukturą Strontium w związku z eksploatacją urządzeń Internetu rzeczy (IoT) w kwietniu 2019 roku. (Microsoft Security Response Center, 2019) (Microsoft, 2019) NSA i FBI potwierdziły, że ten sam adres IP był również używany do uzyskania dostępu do adresu IP Drovorub C2 185.86.149.125 w kwietniu 2019 r. ”

Raport opublikowany przez obie amerykańskie agencje zawiera szczegółowe informacje dotyczące szczegółów technicznych szkodliwego oprogramowania. Zawiera wskazówki dotyczące uruchamiania sondowania pod kątem zachowania ukrywania plików, reguł snort, zmienności, reguł Yara dla administratora w celu opracowania odpowiednich metod wykrywania i ochrony sieci. Kiedy mówimy o środkach zapobiegawczych, obie agencje wspomniały, że administratorzy powinni zaktualizować Linux Kernal do wersji 3.7 lub nowszej, a administrator powinien skonfigurować systemy w taki sposób, aby ich system ładował moduły z prawidłowym podpisem cyfrowym.

Bardzo intensywnie badamy materię i wyzywająco opublikujemy aktualizację, jeśli nadejdzie w przyszłości. Jeśli masz jakieś sugestie lub pytania dotyczące „Drovorub Malware”, napisz w polu komentarza podanym poniżej.