FBI – NSA κοινή προειδοποίηση για νέο malware

Το FBI και η NSA δημοσίευσαν σήμερα μια κοινή προ ασφαλείας που περιέχει λεπτομέρειες για ένα νέο στέλεχος κακόβουλου λογισμικού Linux. Και οι υπηρεσίες αναφέρουν ότι αναπτύχθηκε και χρησιμοποιήθηκε σε πραγματικές επιθέσεις από στρατιωτικούς hackers της Ρωσίας.

Οι δύο εταιρείες αναφέρουν ότι οι Ρώσοι hackers χρησιμοποίησαν το Drovorub, από backdoors μέσα σε παραβιασμένα δίκτυα.

Με βάση τα στοιχεία που έχουν συλλέξει οι δύο υπηρεσίες, αξιωματούχοι του FBI και της NSA ισχυρίζονται ότι το κακόβουλο λογισμικό είναι έργο της APT28 (Fancy Bear, Sednit), ένα κωδικό όνομα που δόθηκε στους hackers που λειτουργούν στην στρατιωτική μονάδα 26165 της Διεύθυνσης Κεντρικής Πληροφορίας του Γενικού Επιτελείου της Ρωσίας (GRU από το Staff Main Intelligence Directorate) στο 85ο Main SpecialService Center (GTsSS).

Μέσω της κοινής τους προειδοποίησης, οι δύο υπηρεσίες ελπίζουν να ευαισθητοποιήσουν τον ιδιωτικό και δημόσιο τομέα των ΗΠΑ, έτσι ώστε οι διαχειριστές συστημάτων να μπορούν να επιδιορθώσουν γρήγορα τα συστήματά τους, ή να προσθέσουν κανόνες ανίχνευσης και μέτρα ς.

Σύμφωνα με τις δύο υπηρεσίες, το Drovorub είναι ένα σύστημα πολλαπλών συστατικών που συνοδεύεται από implant, ένα kernel module rootkit, ένα file transfer tool, ένα port-forwarding module, και φυσικά ένα -and-control (C2) server.

Οι τεχνικές λεπτομέρειες που δημοσιεύθηκαν σήμερα από την NSA και το FBI για το σετ εργαλείων Drovorub της APT28 είναι πολύτιμες για τους ερευνητές του κυβερνοχώρου.

Για να αποφευχθούν επιθέσεις, οι υπηρεσίες συνιστούν στους οργανισμούς να ενημερώσουν οποιοδήποτε σύστημα Linux σε μια που τρέχει με Kernel στην έκδοση 3.7 ή κάποια νεότερη, “προκειμένου να επωφεληθούν πλήρως από το kernel signing enforcement, μια λειτουργία ασφαλείας που θα εμπόδιζε τους εισβολείς της APT28 να εγκαταστήσουν το rootkit Drovorub.

Η κοινή ειδοποίηση ασφαλείας [PDF] περιέχει οδηγίες για την μεταβλητότητα, την ανίχνευση συμπεριφοράς απόκρυψης αρχείων, τους κανόνες Snort και τους κανόνες Yara. Φυσικά όλα τα παραπάνω είναι χρήσιμα για την ανάπτυξη κατάλληλων μέτρων ανίχνευσης.

Μερικές ενδιαφέρουσες λεπτομέρειες που συλλέξαμε από την προειδοποίηση ασφαλείας των 45 σελίδων:

Το όνομα Drovorub είναι το όνομα που χρησιμοποιεί η APT28 για το κακόβουλο λογισμικό, και όχι της NSA ή του FBI.
Προέρχεται από το drovo [дрово], το οποίο μεταφράζεται σε “καυσόξυλο”, ή “ξύλο” και το [руб], το οποίο μεταφράζεται σε “να πέσει” ή “να κόψει”.
Το FBI και η NSA δήλωσαν ότι κατάφεραν να συνδέσουν το Drovorub με την APT28 αφού οι Ρώσοι hackers χρησιμοποίησαν ξανά διακομιστές που είχαν χρησιμοποιήσει παλαιότερα.
Για παράδειγμα, και οι δύο υπηρεσίες ισχυρίζονται ότι το Drovorub συνδεόταν με διακομιστή C&C που είχε χρησιμοποιηθεί στο παρελθόν για λειτουργίες της APT28 που στόχευαν συσκευές IoT την άνοιξη του 2019. Η διεύθυνση IP είχε τεκμηριωθεί από τη Microsoft.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

One Comment

Leave a Reply
  1. …στόχευαν το ΙΟΤ….

    Άντε να μπεις στο σπίτι και να δεις το πλυντήριο να πλένει μόνο του, χωρίς να έχεις πατήσει εσύ το κουμπί.
    Άντε να σου δείξει εντολή το ψυγείο να αγοράσεις 6 αυγά, ενόσω έχεις αλλά 20…

    Εεερε τι έχουμε να ζήσουμε στο εγγύς μέλλον.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).