美国联邦调查局(FBI)和美国国家安全局(NSA)今天发布了一份联合安全警报,其中包含一种新的Linux恶意软件的细节,这两家机构表示,这种软件是在俄罗斯军方黑客在现实世界的攻击中开发和部署的。
这两家机构表示,俄罗斯黑客使用名为Drovorub的恶意软件是为了在被黑客攻击的网络中植入后门。
根据这两个机构收集的证据,联邦调查局和美国国家安全局官员声称,该恶意软件是APT28(花哨熊,Sednit)所为,这是一个代号,指的是在俄罗斯总参谋长主要情报局第85个主要专门服务中心的军事团结26165下运作的黑客。
通过联合警报,这两个机构希望提高美国私营和公共部门的意识,以便IT管理员能够迅速部署检测规则和预防措施。
根据这两个机构的说法,Drovorub是一个多组件系统,包括一个植入器、一个内核模块rootkit、一个文件传输工具、一个端口转发模块和一个命令控制(C2)服务器。
今天,McAfee首席技术官史蒂夫·格罗布曼在一封电子邮件中告诉ZDNet记者,Drovorub是一把瑞士军刀,可以让攻击者执行许多不同的功能,比如窃取文件和远程控制受害者的电脑。
这位McAfee高管补充说,除了Drovorub;的多种功能外,它还利用了先进的rootkit技术,使检测变得困难,从而实现了隐形。隐形元素允许特工将恶意软件植入许多不同类型的目标,从而随时发动攻击。
美国是潜在网络攻击的目标丰富的环境。Grobman说,Drovorub的目标没有在报告中指出,但它们的范围可能从工业间谍活动到干预选举。
美国国家安全局和联邦调查局今天公布的APT28;Drovorub工具包的技术细节对全美的网络防御者来说非常有价值。
为防止攻击,该机构建议美国组织将所有Linux系统更新为运行内核3.7版或更高版本的版本,以便充分利用内核签名强制,这是一项安全功能,可防止APT28黑客安装Drovorub;的rootkit。
联合安全警报[PDF]包含运行易失性、探测文件隐藏行为、Snort规则和Yara规则的指导-所有这些都有助于部署适当的检测措施。
名称Drovorub是APT28用于恶意软件的名称,而不是由NSA或FBI分配的名称。
这个名字来源于Drovo[дрово],翻译过来就是#34;柴火,或者木头;或者橡皮[руб],翻译过来就是";下降,或者";砍。
FBI和NSA表示,在俄罗斯黑客在不同行动中重复使用服务器后,他们能够将Drovorub与APT28联系起来。例如,这两家机构声称,Drovorub连接到了一台C&;C服务器,该服务器过去曾用于2019年春季针对物联网设备的APT28操作。该IP地址之前已由Microsoft记录在案。