FBI 和 NSA 聯合揭露由俄羅斯黑客開發的新型 Linux 惡意軟件 Drovorub

美國聯邦調查局（FBI）和美國國家安全局（NSA）今天發布了聯合安全警報，其中包含有關兩種新型Linux惡意軟件的詳細信息，兩家機構稱這是由俄羅斯軍方黑客在現實世界的攻擊中開發和部署的。

兩家機構表示，俄羅斯黑客使用名為Drovorub的惡意軟件 在被黑客入侵的網絡中植入后門程序。

基于證據的兩個機構收集，聯邦調查局和國家安全局官員聲稱，該惡意軟件是APT28所為，APT28是俄羅斯總參謀部主要情報理事會(GRU)第85主要特殊服務中心(GTsSS)軍事聯合26165部黑客的代號。

兩家機構希望通過聯合警報提高對美國私營和公共部門的認識，以便IT管理員可以快速部署檢測規則和預防措施。

Drovorub — APT28的用于入侵Linux的瑞士軍刀

根據這兩個機構，Drovorub是一個多組件系統，包括一個implant、一個內核模塊rootkit、一個文件傳輸工具、一個port-forwarding模塊和一個命令和控制(C2)服務器。

McAfee CTO Steve Grobman今天在一封電子郵件中告訴ZDNet：“Drovorub是一把‘瑞士軍刀’，允許攻擊者執行許多不同的功能，比如竊取文件和遠程控制受害者的計算機。”

McAfee高管補充說：“除了Drovorub的多種功能外，它還利用先進的’rootkit’技術進行隱身設計，這些技術使檢測變得困難。“隱身元素使操作人員可以將惡意軟件植入許多不同類型的目標中，從而隨時可以發起攻擊。”

Grobman說：“美國是潛在的網絡攻擊的目標豐富的環境。報告中沒有提到Drovorub的目標，但目標可能從工業間諜活動到選舉干預。”

“美國國家安全局（NSA）和聯邦調查局（FBI）今天發布的有關APT28的Drovorub工具集的技術細節對全美的網絡防御者來說都是非常有價值的。”

為了防止攻擊，該機構建議美國組織將任何Linux系統更新到運行內核版本3.7或更高版本，以“充分利用內核簽名強制執行”的安全功能，該功能可以防止APT28黑客安裝Drovorub的rootkit。

聯合安全警報[PDF]包含關于運行波動性、探測文件隱藏行為、Snort規則和Yara規則的指導——所有這些都有助于部署正確的檢測措施。

我們從長達45頁的安全警報中收集了一些有趣的細節：

• 名稱Drovorub是APT28用于惡意軟件的名稱，而不是NSA或FBI分配的名稱。
• 該名稱來自drovo [дрово]，它的意思是“木柴”或“木頭”，而擦擦[руб]的意思是“下降”或“切”。
• FBI和NSA表示，在俄羅斯黑客重復使用不同操作的服務器后，他們能夠將Drovorub與APT28連接起來。例如，這兩家機構聲稱Drovorub連接了一個C&C服務器，該服務器曾在2019年春天用于APT28行動，目標是物聯網設備。該IP地址之前已由微軟存檔。