O FBI e a NSA expuseram a planta de malware Drovorub Backdoors dentro da rede hackeada

Novo malware Linux “Drovorub” foi pesquisado por pesquisadores de segurança conjuntos do FBI e da NSA. Ambas as agências declararam em seu “Alerta de Segurança Conjunta” que os invasores russos usaram esse malware para plantar backdoors em redes hackeadas.

Funcionários do FBI (Federal Bureau of Investigation) e NSA (National Security Agency) já confirmaram com base em evidências de ataque e afirmam que o Drovorub Malware é obra de APT28 (Fancy Bear, Sednit), um codinome dado aos invasores operando da unidade militar 26165 do 85º Centro Especial (GTsSS) da Direção de Informações do Estado-Maior General Russo (GRU).

O que é malware Droborub?

O cliente “Drovorub” fornece a capacidade de comunicação direta com infraestrutura C2 controlada por ator, capacidade de download e upload de arquivos, execução de comandos arbitrários como “Root” e encaminhamento de tráfego de rede para outros hosts na rede. Este conjunto de ferramentas de malware Linux consiste em um implante acoplado a um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos e encaminhamento de portas e um servidor de comando e controle (C2).

O rootkit do Kernel Module usa vários meios para se ocultar e implantar em dispositivos infectados e persiste por meio da reinicialização de uma máquina infectada, a menos que a inicialização segura UEFI esteja habilitada no modo “COMPLETO” ou “Completo”.

Canivete suíço: malware multicomponente

Conforme discutido acima, este novo malware consiste em implante, uma ferramenta de transferência de arquivos, módulo de encaminhamento de porta, servidor de comando e controle (C2) e rootkit de módulo de kernel. Um “Rootkit” é definido como pedaços de código malicioso que conseguem o acesso root à máquina infectada ao obter privilégio de administrador para o sistema.

Assim que os invasores por trás desse malware obtêm acesso à rede da vítima, ele começa a realizar várias tarefas, incluindo keylogging, roubo de arquivos e desabilitar antivírus ou outro software de segurança e hospedar outras operações favorecidas por grupos patrocinados pelo estado.

O “Drovorub Malware” como rootkit permite que o malware seja carregado na inicialização, o que adiciona ainda mais persistência na rede infectada e outras variantes de malware que podem fazer com que reinicie o sistema visado várias vezes automaticamente.

FBI e NSA relataram que Drovorub Malware tem como alvo as organizações na América do Norte

O relatório emitido por ambas as agências não menciona metas específicas. Mas pode-se presumir que as origens na América do Norte serão o alvo dos invasores por trás dessas campanhas de malware. Devido à natureza furtiva e utilitária do malware, este malware desagradável pode ser usado em espionagem cibernética e interferência eleitoral. Vamos dar uma olhada na declaração de Redmond IT Gaint:

“A investigação descobriu que um ator havia usado esses dispositivos para obter acesso inicial às redes corporativas. Em dois dos casos, as senhas dos dispositivos foram implantadas sem alterar as senhas padrão do fabricante e, na terceira instância, a atualização de segurança mais recente não foi aplicada ao dispositivo. Depois de obter acesso a cada um dos dispositivos IoT, o ator executou tcpdump para farejar o tráfego de rede em sub-redes locais. Eles também foram vistos enumerando grupos administrativos para tentar uma maior exploração. Conforme o ator mudava de um dispositivo para outro, eles largavam um script de shell simples para estabelecer persistência na rede, o que permitia acesso estendido para continuar a caça ”,

FBI e NSA mencionaram medidas preventivas

“Além da atribuição da NSA e do FBI ao GTsSS, a infraestrutura operacional de comando e controle Drovorub foi associada à infraestrutura cibernética operacional GTsSS publicamente conhecida. Por exemplo, em 5 de agosto de 2019, o Microsoft Security Response Center publicou informações vinculando o endereço IP 82.118.242.171 à infraestrutura Strontium em conexão com a exploração de dispositivos da Internet das coisas (IoT) em abril de 2019. (Microsoft Security Response Center, 2019) (Microsoft, 2019) A NSA e o FBI confirmaram que este mesmo endereço IP também foi usado para acessar o endereço IP 185.86.149.125 do Drovorub C2 em abril de 2019. ”

Relatório publicado por ambas as agências dos Estados Unidos com grandes detalhes sobre os detalhes técnicos do malware. Inclui a orientação para executar a investigação de um comportamento de ocultação de arquivo, regras de snort, volatilidade, regras Yara para que o administrador desenvolva métodos de detecção adequados e proteja a rede. Quando falamos em medidas preventivas, ambas as agências mencionaram que os administradores devem atualizar o Linux Kernal para a versão 3.7 ou posterior e que o administrador deve configurar os Sistemas de forma que seu Sistema carregue os módulos com assinatura digital válida.

Estamos pesquisando sobre o assunto muito profundamente e, desafiadoramente, postaremos uma atualização se ela vier no futuro. Se você tiver alguma sugestão ou pergunta sobre “Drovorub Malware”, escreva na caixa de comentários fornecida abaixo.