NSA和FBI警告称新的Linux恶意软件威胁国家安全

2020-08-14 22:42:56

美国联邦调查局(FBI)和美国国家安全局(NSA)发布了一份联合报告,警告俄罗斯国家黑客正在使用一款以前不为人知的Linux恶意软件,秘密渗透敏感网络,窃取机密信息,并执行恶意命令。

在一份从政府机构的技术细节深度来看不同寻常的报告中,官员们表示,Drovorub恶意软件是一个功能齐全的工具包,直到最近才被发现。这些恶意软件连接到一个为GRU工作的黑客组织运营的指挥和控制服务器。GRU是俄罗斯的军事情报机构,与十多年来肆无忌惮的高级行动有关,其中许多行动对国家安全造成了严重损害。

这些机构的官员写道:“本网络安全咨询中的信息正在公开披露,以帮助国家安全系统所有者和公众对抗GRU的能力。GRU是一个继续威胁美国和美国盟友的组织,作为其流氓行为的一部分,包括他们干预2016年美国总统选举,如2017年情报界评估报告所述,评估俄罗斯在最近的美国选举中的活动和意图(国家情报总监办公室,2017年)。”

Drovorub工具集包括四个主要组件:感染Linux设备的客户端;使用rootkit策略获得持久性并对操作系统和安全防御隐藏其存在的内核模块;在攻击者操作的基础设施上运行以控制受感染的计算机并接收被盗数据的服务器;以及使用受损的服务器或攻击控制的计算机充当受感染的计算机和服务器之间的中介的代理。

Rootkit是一种恶意软件,它深入操作系统内核,阻止接口注册恶意文件或它们产生的进程。它还使用了各种其他技术,使感染对正常形式的杀毒软件来说是不可见的。Drovorub还不遗余力地伪装进出受感染网络的流量。

该恶意软件以不受限制的root权限运行,使操作员可以完全控制系统。它配备了完整的功能菜单,使恶意软件相当于瑞士军刀。

政府官员表示,Drovorub的名字来自无意中留在代码中的字符串。“Drovo”大致翻译为“木头”或“柴火”,而“擦”则翻译为“倒下”或“砍”。政府说,总而言之,Drovorub的意思是“伐木工”或“劈柴”。安全研究员德米特里·阿尔佩罗维奇(Dmitri Alperovitch)职业生涯的大部分时间都在调查俄罗斯的黑客活动-包括2016年针对民主党全国委员会(DNC)的那次-他给出了不同的解释。

“Re:恶意软件名称‘Drovorub’,正如@NSACyber指出的那样,它直接翻译为‘伐木工’,”安全公司CrowdStrike的联合创始人和前CTO阿尔佩罗维奇在Twitter上写道。“然而,更重要的是,‘Drova’在俄语中是‘驱动程序’的俚语,就像在内核驱动程序中一样。所以这个名字很可能是“(安全)司机杀手”的意思。

Re:恶意软件名称“Drovorub”,正如@NSACyber指出的那样,它直接翻译为“伐木工”,然而,更重要的是,“Drova”在俄语中是“驱动程序”的俚语,就像在内核驱动程序中一样。因此,这个名字很可能是为了表示“(安全)驱动程序杀手https://t.co/yToULwp3xw”的意思。

-Dmitri Alperovitch(@DAlperovitch)2020年8月13日。

Drovorub增加了之前已知的APT 28使用的大量工具和战术,其他研究人员称俄罗斯军事黑客组织Fancy Bear、Sr、Pawn Storm、Sofacy、Sednit和Tsar Team为其提供了丰富的工具和战术。该组织的黑客攻击服务于俄罗斯政府利益和克里姆林宫认为是对手的目标国家和组织。

今年8月,微软报告称,该组织一直在侵入打印机、视频解码器和其他所谓的物联网设备,并将它们用作滩头阵地,渗透到它们连接的计算机网络。2018年,思科Talos集团的研究人员发现,APT 28感染了54个国家的50多万台消费级路由器,然后这些路由器可能被用于一系列邪恶目的。

在2016年大选前闯入民主党全国委员会(以及另一个名为舒适熊的俄罗斯组织),然后分发破坏性文件以影响选民意见。

周四的公告没有指明Drovorub的目标组织,也没有对他们所在的目标或地理位置提供更广泛的描述。它也没有说明恶意软件已经存在了多久,到目前为止已经有多少已知的感染,或者黑客是如何感染服务器的。APT 28通常依赖于恶意垃圾邮件或网络钓鱼攻击,这些攻击要么会感染计算机,要么会窃取密码。该组织还利用未打补丁的设备上的漏洞。

该机构官员表示,针对Drovorub的一个关键防御措施是确保安装了所有安全更新。该咨询还敦促,服务器至少运行Linux内核3.7版或更高版本,以便组织可以使用改进的代码签名保护,这些保护使用加密证书来确保应用程序、驱动程序或模块来自已知和可信的来源,并且没有被其他任何人篡改。

“此外,建议系统所有者将系统配置为仅加载带有有效数字签名的模块,从而使行为者更难将恶意内核模块引入系统,”该公告称。

还包括网络管理员可以插入YARA和Snort入侵检测系统的规则,以捕获和阻止进出控制服务器的网络流量,或者标记已在服务器上运行的模糊的Drovorub文件或进程。

这份45页的文件提供了技术细节和知情分析的水平,可以与私营公司的一些最好的研究相媲美。该咨询也是第一次披露这种新的高级恶意软件的存在。这些都是政府咨询中很少提供的东西。管理网络的任何人都应该要求阅读该报告。