Твитнуть
Выявлен комплекс вредоносного ПО "Дроворуб" для ОС Linux
Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб» (Drovorub). В состав «Дроворуба» входят руткит в виде модуля ядра Linux, инструмент для пересылки файлов и перенаправления сетевых портов и управляющий сервер. Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети.
Клиент имеет встроенную конфигурацию, в том числе URL сервера, его публичный ключ RSA, имя пользователя и пароль. После установки руткита конфигурация сохраняется в виде текстового файла в формате JSON, который скрывается от системы модулем ядра «Дроворуба»
Ещё один компонент «Дроворуба» агент, его конфигурационный файл содержит информацию для подключения к серверу
Для обнаружения «Дроворуба» можно использовать анализ сетевого трафика средствами NIDS (вредоносную сетевую активность в самой заражённой системе выявить не удаётся, так как модуль ядра скрывает используемые им сетевые сокеты, правила netfilter и пакеты, которые могли бы перехватиться raw-сокетами).
Другие методы обнаружения включают анализ памяти и содержимого диска. Для предотвращения заражения рекомендуется использовать обязательную проверку подписи ядра и модулей, доступную начиная с версии ядра linux 3.7. В отчёте содержатся правила Snort для обнаружения сетевой активности «Дроворуба» и правила Yara для детектирования его компонентов.
Информации о практическом применении описанного вредоносного набора пока нет. Утверждения о причастности к разработке 85 ГЦСС ГРУ основано на выявленном компанией Microsoft использовании одного и того же IP-адреса, который применялся для доступа к управляющему серверу Drovorub и также фигурировал в ассоциированной с группой STRONTIUM (APT28) атаке, поражавшей IoT-устройства в апреле 2019 года. Напомним, что 85 ГЦСС ГРУ (в/ч 26165) связывается с группой APT28 (Fancy Bear), ответственной за многочисленные кибератаки.
Выявлен комплекс вредоносного ПО "Дроворуб" для ОС Linux
- - - Добавлено - - -
Для тех, кто пользуется российскими форками систем Linux и тех, кто cкачивал установочный образ (Ubuntu, Kubuntu, Xubuntu .... Linux Mint ....) с российских сереверов, лучше переустановить систему заново, скачав установочный образ с оффициального сайта.
Для обновления ОС Lunux следует использовать "Основной серевер", который находится в США, или выбрать другой европейский сервер.
Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб» (Drovorub). В состав «Дроворуба» входят руткит в виде модуля ядра Linux, инструмент для пересылки файлов и перенаправления сетевых портов и управляющий сервер. Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети.
Клиент имеет встроенную конфигурацию, в том числе URL сервера, его публичный ключ RSA, имя пользователя и пароль. После установки руткита конфигурация сохраняется в виде текстового файла в формате JSON, который скрывается от системы модулем ядра «Дроворуба»
Ещё один компонент «Дроворуба» агент, его конфигурационный файл содержит информацию для подключения к серверу
Для обнаружения «Дроворуба» можно использовать анализ сетевого трафика средствами NIDS (вредоносную сетевую активность в самой заражённой системе выявить не удаётся, так как модуль ядра скрывает используемые им сетевые сокеты, правила netfilter и пакеты, которые могли бы перехватиться raw-сокетами).
Другие методы обнаружения включают анализ памяти и содержимого диска. Для предотвращения заражения рекомендуется использовать обязательную проверку подписи ядра и модулей, доступную начиная с версии ядра linux 3.7. В отчёте содержатся правила Snort для обнаружения сетевой активности «Дроворуба» и правила Yara для детектирования его компонентов.
Информации о практическом применении описанного вредоносного набора пока нет. Утверждения о причастности к разработке 85 ГЦСС ГРУ основано на выявленном компанией Microsoft использовании одного и того же IP-адреса, который применялся для доступа к управляющему серверу Drovorub и также фигурировал в ассоциированной с группой STRONTIUM (APT28) атаке, поражавшей IoT-устройства в апреле 2019 года. Напомним, что 85 ГЦСС ГРУ (в/ч 26165) связывается с группой APT28 (Fancy Bear), ответственной за многочисленные кибератаки.
Выявлен комплекс вредоносного ПО "Дроворуб" для ОС Linux
- - - Добавлено - - -
Для тех, кто пользуется российскими форками систем Linux и тех, кто cкачивал установочный образ (Ubuntu, Kubuntu, Xubuntu .... Linux Mint ....) с российских сереверов, лучше переустановить систему заново, скачав установочный образ с оффициального сайта.
Для обновления ОС Lunux следует использовать "Основной серевер", который находится в США, или выбрать другой европейский сервер.
Комментарий