Ponoć wcześniej nieznany Drovorub jest używany przez zaawansowaną grupę hakerską.
NSA i FBI wprost ostrzegają, że nowe złośliwe oprogramowanie dla systemu Linux zagraża bezpieczeństwu narodowemu Stanów Zjednoczonych.
Za Drovorub stoi Rosja?
Obie agencje opublikowały wspólny raport ostrzegający, że rosyjscy hakerzy działający na zlecenie tego państwa używają nieznanego wcześniej złośliwego oprogramowania dla systemu Linux. Ma ono być używane do potajemnej infiltracji wrażliwych sieci, kradzieży poufnych informacji i wykonywania złośliwych poleceń.
W raporcie, który jest wyjątkowy ze względu na ilość szczegółowych informacji technicznych, urzędnicy stwierdzili, że złośliwe oprogramowanie Drovorub to w pełni funkcjonalny zestaw narzędzi, który do niedawna pozostawał niewykryty. Złośliwe oprogramowanie łączy się z serwerami dowodzenia i kontroli (command & control servers) obsługiwanymi przez grupę hakerską. Grupa ta ma pracować dla GRU, rosyjskiej agencji wywiadu wojskowego.
Toolbox
Zestaw narzędzi Drovorub zawiera cztery główne komponenty: klienta infekującego urządzenia z systemem Linux, moduł jądra korzystający z taktyk rootkitów w celu uzyskania trwałości i ukrycia swojej obecności przed systemami operacyjnymi i zabezpieczeniami, serwer działający na infrastrukturze zarządzanej przez atakującego w celu kontrolowania zainfekowanych maszyn i otrzymywania skradzionych danych oraz agenta, który wykorzystuje zainfekowane serwery lub maszyny kontrolowane przez atakujących, aby działać jako pośrednik między zainfekowanymi maszynami a serwerami.
Jestem w jądrze, mam roota
Rootkit to rodzaj złośliwego oprogramowania, które zagrzebuje się głęboko w jądrze systemu operacyjnego w sposób uniemożliwiający systemowi rejestrację złośliwych plików lub procesów, które są następnie uruchamiane. Wykorzystuje również szereg innych technik, aby infekcje były niewidoczne dla zwykłych antywirusów. Drovorub także dokłada wszelkich starań, aby ukryć ruch przychodzący do i wychodzący z zainfekowanej sieci.
Szkodliwe oprogramowanie działa z nieograniczonymi uprawnieniami roota, dając operatorom pełną kontrolę nad systemem. Zawiera pełne menu możliwości, co czyni go złośliwym odpowiednikiem szwajcarskiego scyzoryka.
Mów mi drwal
Drovorub zawdzięcza swoją nazwę ciągom znaków pozostawionych, raczej nieumyślnie, w kodzie. „Drovo” z grubsza oznacza „drewno” a „rub” to „upadek” lub „rąbanie”. Stąd też Drovorub można tłumaczyć jako „drwal” „rozłupujący drewno”. Jednak zdaniem badacza Dmitri Alperovitcha:
„Drova” to w języku rosyjskim slang oznaczający „sterowniki”, podobnie jak w przypadku sterowników jądra. Tak więc nazwa prawdopodobnie została wybrana tak, aby oznaczać „zabójcę (bezpieczeństwa) sterowników.
Nie pierwszy, nie ostatni
Drovorub dołącza do już obfitego zbioru wcześniej znanych narzędzi i taktyk używanych przez APT 28, rosyjską wojskową grupę hakerską, którą inni badacze nazywają Fancy Bear, Strontium, Pawn Storm, Sofacy, Sednit czy Tsar Team. Służą oni interesom rosyjskiego rządu a ich działania są skierowane przeciwko krajom i organizacjom, które Kreml uważa za przeciwników.
W sierpniu Microsoft poinformował, że grupa hakowała drukarki, dekodery wideo i inne tak zwane „urządzenia Internetu rzeczy” i wykorzystywała je jako przyczółek do penetracji sieci komputerowych, do których były one podłączone. W 2018 roku badacze z grupy Cisco Talos odkryli zainfekowanie przez APT 28 ponad 500 000 routerów klasy konsumenckiej w 54 krajach, które można następnie wykorzystać do szeregu niecnych celów.
Środki zaradcze
Autorzy raportu podnoszą naturalnie, że kluczową obroną przed Drovorubem jest zapewnienie zainstalowania wszystkich aktualizacji zabezpieczeń. W poradniku zalecono również nieco konkretniej, aby serwery działały z jądrem Linuksa przynajmniej w wersji 3.7 lub nowszej, aby organizacje mogły korzystać z ulepszonych zabezpieczeń podpisywania kodu, które wykorzystują certyfikaty kryptograficzne w celu zapewnienia, że aplikacja, sterownik lub moduł pochodzą ze znanego i zaufanego źródła i nikt inny nie manipulował nim.