O FBI e a NSA publicaram hoje um alerta de segurança conjunto contendo detalhes sobre um novo tipo de malware Linux que as duas agências dizem ter sido desenvolvido e implantado em ataques no mundo real por hackers militares da Rússia.

As duas agências afirmam que os hackers russos usaram o malware, chamado Drovorub , para plantar backdoors nas redes hackeadas.

Com base nas evidências que as duas agências coletaram, oficiais do FBI e da NSA afirmam que o malware é obra de APT28 (Fancy Bear, Sednit) , um codinome dado aos hackers que operam na unidade militar 26165 da Diretoria Principal de Inteligência do Estado-Maior Russo (GRU ) 85º Centro Principal de Serviços Especiais (GTsSS).

Por meio do alerta conjunto, as duas agências esperam aumentar a conscientização nos setores público e privado dos EUA para que os administradores de TI possam implementar rapidamente regras de detecção e medidas de prevenção.

Drovorub - o canivete suíço do APT28 para hackear Linux De acordo com as duas agências, Drovorub é um sistema multicomponente que vem com um implante, um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos, um módulo de encaminhamento de porta e um servidor de comando e controle (C2).

"Drovorub é um 'canivete suíço' de capacidades que permite ao atacante executar muitas funções diferentes, como roubar arquivos e controlar remotamente o computador da vítima", disse o CTO da McAfee, Steve Grobman, à ZDNet por e-mail hoje.

"Além dos vários recursos do Drovorub, ele foi projetado para ser furtivo, utilizando tecnologias avançadas de 'rootkit' que dificultam a detecção", acrescentou o executivo da McAfee. "O elemento furtivo permite que os operadores implantem o malware em muitos tipos diferentes de alvos, permitindo um ataque a qualquer momento."

                                                                                                                                                                                 FBI e NASA

"Os Estados Unidos são um ambiente rico em alvos para ataques cibernéticos em potencial. Os objetivos de Drovorub não foram mencionados no relatório, mas podem variar de espionagem industrial a interferência eleitoral", disse Grobman.

"Os detalhes técnicos divulgados hoje pela NSA e FBI no conjunto de ferramentas Drovorub do APT28 são altamente valiosos para os defensores cibernéticos nos Estados Unidos."

Para evitar ataques, a agência recomenda que as organizações dos EUA atualizem qualquer sistema Linux para uma versão do kernel versão 3.7 ou posterior, "para aproveitar ao máximo a aplicação de assinatura do kernel", um recurso de segurança que evitaria que hackers APT28 instalassem o rootkit de Drovorub.

O alerta de segurança conjunta [ PDF ] contém orientações para executar a Volatilidade, sondar o comportamento de ocultação de arquivos, regras do Snort e regras da Yara - todos úteis para implantar medidas de detecção adequadas.

Alguns detalhes interessantes que coletamos do alerta de segurança de 45 páginas:

O nome Drovorub é o nome que o APT28 usa para o malware, e não aquele atribuído pela NSA ou FBI. O nome vem de drovo [дрово], que se traduz como "lenha" ou "madeira" e esfregue [руб], que se traduz como "cair" ou "cortar". O FBI e a NSA disseram que conseguiram vincular Drovorub ao APT28 depois que os hackers russos reutilizaram servidores em diferentes operações. Por exemplo, as duas agências afirmam que Drovorub está conectado a um servidor C&C que foi usado anteriormente para operações APT28 destinadas a dispositivos IoT na primavera de 2019 . O endereço IP foi documentado anteriormente pela Microsoft.