俄罗斯的花哨的熊用Drovorub Malware定位Linux环境
美国的国家安全局(NSA)和联邦调查局(FBI)已发布了一个新的恶意软件 - 被称为Drovorub的联合网络安全咨询警告 - 该委员会通过链接到俄罗斯政府的情报服务的团体部署了Linux环境。
俄罗斯一般员工主智能局(GRU)第85届主特殊服务中心的26165单元,也是由花哨的熊,Strontium和APT28的名称使用Drovorub - 这包括内核模块rootkit,文件传输和端口转发工具和命令和控制(C2)服务器 - 要在目标环境和C2基础架构之间建立直接通信,下载和上载文件,执行任意命令,并将向前的网络流量转发到网络上的其他主机。
“这种网络安全咨询代表了网络安全使命的重要层调,发布了对特定威胁的广泛技术分析,”NSA网络安全总监Anne Neuberger说。
“通过解构这种能力并提供归属,分析和减轻,我们希望能够赋予客户,合作伙伴和盟友采取行动。我们与联邦调查局的深刻伙伴关系反映在我们将此全面指导中释放在一起。“
联邦调查局助理主任Matt Gorham说:“对于联邦调查局,网络空间的优先事项之一不仅可以对网络对手施加风险和后果,而且还通过及时,主动分享信息赋予我们的私营部门,政府和国际合作伙伴。
“与NSA的合作伙伴的这份联合咨询是仅仅是那种分享的杰出典范。我们仍然致力于分享帮助企业和公众保护自己免受恶意网络行为者的信息。“
这两位机构表示,Drovorub目前代表了对任何国家安全和国防系统的威胁,或在军事工业综合体中工作的承包商,目前使用Linux系统。
史蒂夫Grobman,CTO在McAfee描述了Drovorub - 它直接翻译为“Woodcutter” - 包含允许攻击者在其目标系统内执行各种行动的瑞士军刀。
“除了Drovorub的多种能力之外,它还通过利用先进的rootkit技术来设计,使得难以使检测难以困难,”Grobman说。“Stealth的元素允许操作员在许多不同类型的目标中植入恶意软件,随时攻击。攻击者可以推出网络战争活动,以造成重大损害或破坏,并没有对其目标的地理邻接。
“美国是潜在网络攻击的目标丰富的环境。Drovorub的目标没有在报告中呼出,但它们可以从工业间谍活动中的选举干扰。”
代理商表示,尽管有许多检测技术可以有效地用于识别驱动器(在其咨询中完全详细说明,但与Snort和Yara规则一起),其内核模块对大规模检测构成了挑战,因为它隐藏着它的艺术品来自广泛使用的工具,用于在级别的实时响应。
为了停止由Drovorub的混淆和持久性损害,管理员呼吁更新到Linux内核3.7或更高版本以利用内核签名强制执行,并仅加载具有有效数字签名的模块。