Malware periculos pentru sistemele Linux

2020/08/26
Popularitate 1000

Foto: zdnet.com

În urma activității pe linie de parteneriat, CERT-RO a primit semnalări privind unele elemente referitoare la malware-ul Drovorub.

Conform unor date publicate de agențiile americane NSA și FBI, acest malware a fost atribuit unei entități aparținând de serviciul militar de informații rus (GRU), respectiv Centrul special principal 85 (GTsSS), asociat public cu alte produse malițioase, APT28, Fancy Bear, Strontium.

Programul cibernetic al GTsSS este apreciat ca folosind o mare varietate de tehnici proprii, cunoscute public, care au ca țintă rețelele informatice și vizează asigurarea persistenței programelor malițioase pe dispozitivele compromise.

Drovorub este un malware Linux dezvoltat de GTsSS. Când este instalat pe o mașină de victimă, Drovorub asigură: capacitatea de comunicare directă cu infrastructura de comandă și control aflată sub controlul dezvoltatorului; capabilități de descărcare și încărcare a fișierelor; executarea comenzilor arbitrare; redirecționarea porturilor traficului de rețea către alte gazde din rețea; eludarea măsurilor de detecție, prin aplicarea unor tehnici de ascundere.

Pentru diminuarea riscului de infectare a sistemelor de tip Linux, implementarea SecureBoot în modul „full” sau „thorough” ar trebui să prevină eficient încărcarea modulelor kernel malițioase, cum ar fi cel al Drovorub. Celelalte metode de detectare și rezolvare, cum ar fi regulile Snort și Yara vor avea o eficiență limitată, acestea fiind utile până la schimbarea versiunii malware-ului.

Pentru informații mai detaliate despre acest malware, puteți accesa următorul link:

 https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF


Vizualizat de 495 ori