Το FBI και η NSA δημοσίευσαν σήμερα μια κοινή προειδοποίηση ασφαλείας που περιέχει λεπτομέρειες για ένα νέο στέλεχος κακόβουλου λογισμικού Linux. Και οι δύο υπηρεσίες αναφέρουν ότι αναπτύχθηκε και χρησιμοποιήθηκε σε πραγματικές επιθέσεις από στρατιωτικούς hackers της Ρωσίας.
Οι δύο εταιρείες αναφέρουν ότι οι Ρώσοι hackers χρησιμοποίησαν το κακόβουλο λογισμικό Drovorub, από backdoors μέσα σε παραβιασμένα δίκτυα.
Με βάση τα στοιχεία που έχουν συλλέξει οι δύο υπηρεσίες, αξιωματούχοι του FBI και της NSA ισχυρίζονται ότι το κακόβουλο λογισμικό είναι έργο της APT28 (Fancy Bear, Sednit), ένα κωδικό όνομα που δόθηκε στους hackers που λειτουργούν στην στρατιωτική μονάδα 26165 της Διεύθυνσης Κεντρικής Πληροφορίας του Γενικού Επιτελείου της Ρωσίας (GRU από το General Staff Main Intelligence Directorate) στο 85ο Main SpecialService Center (GTsSS).
Μέσω της κοινής τους προειδοποίησης, οι δύο υπηρεσίες ελπίζουν να ευαισθητοποιήσουν τον ιδιωτικό και δημόσιο τομέα των ΗΠΑ, έτσι ώστε οι διαχειριστές συστημάτων να μπορούν να επιδιορθώσουν γρήγορα τα συστήματά τους, ή να προσθέσουν κανόνες ανίχνευσης και μέτρα πρόληψης.
Σύμφωνα με τις δύο υπηρεσίες, το Drovorub είναι ένα σύστημα πολλαπλών συστατικών που συνοδεύεται από implant, ένα kernel module rootkit, ένα file transfer tool, ένα port-forwarding module, και φυσικά ένα command-and-control (C2) server.
Οι τεχνικές λεπτομέρειες που δημοσιεύθηκαν σήμερα από την NSA και το FBI για το σετ εργαλείων Drovorub της APT28 είναι πολύτιμες για τους ερευνητές του κυβερνοχώρου.
Για να αποφευχθούν επιθέσεις, οι υπηρεσίες συνιστούν στους οργανισμούς να ενημερώσουν οποιοδήποτε σύστημα Linux σε μια έκδοση που τρέχει με Kernel στην έκδοση 3.7 ή κάποια νεότερη, “προκειμένου να επωφεληθούν πλήρως από το kernel signing enforcement, μια λειτουργία ασφαλείας που θα εμπόδιζε τους εισβολείς της APT28 να εγκαταστήσουν το rootkit Drovorub.
Η κοινή ειδοποίηση ασφαλείας [PDF] περιέχει οδηγίες για την μεταβλητότητα, την ανίχνευση συμπεριφοράς απόκρυψης αρχείων, τους κανόνες Snort και τους κανόνες Yara. Φυσικά όλα τα παραπάνω είναι χρήσιμα για την ανάπτυξη κατάλληλων μέτρων ανίχνευσης.
Μερικές ενδιαφέρουσες λεπτομέρειες που συλλέξαμε από την προειδοποίηση ασφαλείας των 45 σελίδων:
Το όνομα Drovorub είναι το όνομα που χρησιμοποιεί η APT28 για το κακόβουλο λογισμικό, και όχι της NSA ή του FBI.
Προέρχεται από το drovo [дрово], το οποίο μεταφράζεται σε “καυσόξυλο”, ή “ξύλο” και το [руб], το οποίο μεταφράζεται σε “να πέσει” ή “να κόψει”.
Το FBI και η NSA δήλωσαν ότι κατάφεραν να συνδέσουν το Drovorub με την APT28 αφού οι Ρώσοι hackers χρησιμοποίησαν ξανά διακομιστές που είχαν χρησιμοποιήσει παλαιότερα.
Για παράδειγμα, και οι δύο υπηρεσίες ισχυρίζονται ότι το Drovorub συνδεόταν με διακομιστή C&C που είχε χρησιμοποιηθεί στο παρελθόν για λειτουργίες της APT28 που στόχευαν συσκευές IoT την άνοιξη του 2019. Η διεύθυνση IP είχε τεκμηριωθεί από τη Microsoft.
…στόχευαν το ΙΟΤ….
Άντε να μπεις στο σπίτι και να δεις το πλυντήριο να πλένει μόνο του, χωρίς να έχεις πατήσει εσύ το κουμπί.
Άντε να σου δείξει εντολή το ψυγείο να αγοράσεις 6 αυγά, ενόσω έχεις αλλά 20…
Εεερε τι έχουμε να ζήσουμε στο εγγύς μέλλον.