iGuRu
Now Reading
FBI – NSA κοινή προειδοποίηση για νέο malware
iGuRu

FBI – NSA κοινή προειδοποίηση για νέο malware

Το FBI και η NSA δημοσίευσαν σήμερα μια κοινή προειδοποίηση ασφαλείας που περιέχει λεπτομέρειες για ένα νέο στέλεχος κακόβουλου λογισμικού Linux. Και οι δύο υπηρεσίες αναφέρουν ότι αναπτύχθηκε και χρησιμοποιήθηκε σε πραγματικές επιθέσεις από στρατιωτικούς hackers της Ρωσίας.

Οι δύο εταιρείες αναφέρουν ότι οι Ρώσοι hackers χρησιμοποίησαν το κακόβουλο λογισμικό Drovorub, από backdoors μέσα σε παραβιασμένα δίκτυα.Screenshot 2020 08 14 08 04 12 - FBI - NSA κοινή προειδοποίηση για νέο malware

Με βάση τα στοιχεία που έχουν συλλέξει οι δύο υπηρεσίες, αξιωματούχοι του FBI και της NSA ισχυρίζονται ότι το κακόβουλο λογισμικό είναι έργο της APT28 (Fancy Bear, Sednit), ένα κωδικό όνομα που δόθηκε στους hackers που λειτουργούν στην στρατιωτική μονάδα 26165 της Διεύθυνσης Κεντρικής Πληροφορίας του Γενικού Επιτελείου της Ρωσίας (GRU από το General Staff Main Intelligence Directorate) στο 85ο Main SpecialService Center (GTsSS).

Μέσω της κοινής τους προειδοποίησης, οι δύο υπηρεσίες ελπίζουν να ευαισθητοποιήσουν τον ιδιωτικό και δημόσιο τομέα των ΗΠΑ, έτσι ώστε οι διαχειριστές συστημάτων να μπορούν να επιδιορθώσουν γρήγορα τα συστήματά τους, ή να προσθέσουν κανόνες ανίχνευσης και μέτρα πρόληψης.

Σύμφωνα με τις δύο υπηρεσίες, το Drovorub είναι ένα σύστημα πολλαπλών συστατικών που συνοδεύεται από implant, ένα kernel module rootkit, ένα file transfer tool, ένα port-forwarding module, και φυσικά ένα command-and-control (C2) server.

Οι τεχνικές λεπτομέρειες που δημοσιεύθηκαν σήμερα από την NSA και το FBI για το σετ εργαλείων Drovorub της APT28 είναι πολύτιμες για τους ερευνητές του κυβερνοχώρου.

Για να αποφευχθούν επιθέσεις, οι υπηρεσίες συνιστούν στους οργανισμούς να ενημερώσουν οποιοδήποτε σύστημα Linux σε μια έκδοση που τρέχει με Kernel στην έκδοση 3.7 ή κάποια νεότερη, “προκειμένου να επωφεληθούν πλήρως από το kernel signing enforcement, μια λειτουργία ασφαλείας που θα εμπόδιζε τους εισβολείς της APT28 να εγκαταστήσουν το rootkit Drovorub.

Η κοινή ειδοποίηση ασφαλείας [PDF] περιέχει οδηγίες για την μεταβλητότητα, την ανίχνευση συμπεριφοράς απόκρυψης αρχείων, τους κανόνες Snort και τους κανόνες Yara. Φυσικά όλα τα παραπάνω είναι χρήσιμα για την ανάπτυξη κατάλληλων μέτρων ανίχνευσης.

Μερικές ενδιαφέρουσες λεπτομέρειες που συλλέξαμε από την προειδοποίηση ασφαλείας των 45 σελίδων:

Το όνομα Drovorub είναι το όνομα που χρησιμοποιεί η APT28 για το κακόβουλο λογισμικό, και όχι της NSA ή του FBI.
Προέρχεται από το drovo [дрово], το οποίο μεταφράζεται σε “καυσόξυλο”, ή “ξύλο” και το [руб], το οποίο μεταφράζεται σε “να πέσει” ή “να κόψει”.
Το FBI και η NSA δήλωσαν ότι κατάφεραν να συνδέσουν το Drovorub με την APT28 αφού οι Ρώσοι hackers χρησιμοποίησαν ξανά διακομιστές που είχαν χρησιμοποιήσει παλαιότερα.
Για παράδειγμα, και οι δύο υπηρεσίες ισχυρίζονται ότι το Drovorub συνδεόταν με διακομιστή C&C που είχε χρησιμοποιηθεί στο παρελθόν για λειτουργίες της APT28 που στόχευαν συσκευές IoT την άνοιξη του 2019. Η διεύθυνση IP είχε τεκμηριωθεί από τη Microsoft.

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News

View Comment (1)
  • …στόχευαν το ΙΟΤ….

    Άντε να μπεις στο σπίτι και να δεις το πλυντήριο να πλένει μόνο του, χωρίς να έχεις πατήσει εσύ το κουμπί.
    Άντε να σου δείξει εντολή το ψυγείο να αγοράσεις 6 αυγά, ενόσω έχεις αλλά 20…

    Εεερε τι έχουμε να ζήσουμε στο εγγύς μέλλον.

Leave a Reply

Your email address will not be published.

 

iGuRu.gr © 2012 - 2021 Keep it Simple Stupid Custom Theme

Scroll To Top