Drovorub un malware periculos pentru sistemele Linux

Conform unor date publicate de agențiile americane NSA și FBI, malwareul Drovorub a fost atribuit unei entități aparținând de serviciul militar de informații rus (GRU), respectiv Centrul special principal 85 (GTsSS), asociat public cu alte produse malițioase, APT28, Fancy Bear, Strontium.

Programul cibernetic al GTsSS este apreciat ca folosind o mare varietate de tehnici proprii, cunoscute public, care au ca țintă rețelele informatice și vizează asigurarea persistenței programelor malițioase pe dispozitivele compromise.

Drovorub este un malware Linux dezvoltat de GTsSS. Când este instalat pe o mașină de victimă, Drovorub asigură: capacitatea de comunicare directă cu infrastructura de comandă și control aflată sub controlul dezvoltatorului; capabilități de descărcare și încărcare a fișierelor; executarea comenzilor arbitrare; redirecționarea porturilor traficului de rețea către alte gazde din rețea; eludarea măsurilor de detecție, prin aplicarea unor tehnici de ascundere.

Pentru diminuarea riscului de infectare a sistemelor de tip Linux, implementarea SecureBoot în modul „full” sau „thorough” ar trebui să prevină eficient încărcarea modulelor kernel malițioase, cum ar fi cel al Drovorub. Celelalte metode de detectare și rezolvare, cum ar fi regulile Snort și Yara vor avea o eficiență limitată, acestea fiind utile până la schimbarea versiunii malware-ului.

Sursa : cert.ro

Raportul tehnic al NSA și FBI : https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF