Drovorub: il Malware che attacca Linux
L’FBI e la NSA hanno pubblicato un rapporto sul malware basato in Russia che attacca Linux noto come Drovorub.
Drovorub utilizza un rootkit del modulo del kernel consentendo di controllare il computer da remoto, evitando ogni suo rilevamento mentre è in azione. Il malware è facile da individuare se si scaricano informazioni non elaborate dalla rete, ma il modulo del kernel quindi lo rende difficile da trovare, agganciando molte delle sue funzioni in modo che i processi possano essere nascosti.
La fonte del malware è stata rintracciata presso il GRU, Direttorato principale per l’informazione e servizio informazioni delle forze armate russe.
La suite di malware Drovorub è composta da quattro componenti eseguibili separati: Drovorub-agent, Drovorub-client, Drovorub-server e Drovorub-kernel module. La comunicazione tra i componenti avviene tramite JSON su WebSocket. (Fette & Melnikov, 2011) Drovorub-agent, Drovorub-client e Drovorub-server richiedono file di configurazione e una chiave pubblica RSA (per Drovorub-agent e Drovorub-client) o una chiave privata (per Drovorub-server) per comunicazione.
Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware — FBI — NSA
Il report si può leggere a questo link: Report sul malware Dovurub di matrice russa che attacca Linux
What is Drovorub?
Drovorub is a Linux malware toolset consisting of an implant coupled with a kernel module rootkit, a file transfer and port forwarding tool, and a Command and Control (C2) server. When deployed on a victim machine, the Drovorub implant (client) provides the capability for direct communications with actor- controlled C2 infrastructure (T1071.0011); file download and upload capabilities (T1041); execution of arbitrary commands as “root” (T1059.004); and port forwarding of network traffic to other hosts on the network (T1090). The kernel module rootkit uses a variety of means to hide itself and the implant on infected devices (T1014), and persists through reboot of an infected machine unless UEFI secure boot is enabled in “Full” or “Thorough” mode. Despite this concealment, effective detection techniques and mitigation strategies are described below.
Fonte: Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware — FBI — NSA
Andrea Biraghi ultime notizie e rassegna stampa cybersecurity 24 Agosto 2020
Andrea Biraghi ultime notizie e rassegna stampa su cybersecurity del 24 Agosto 2020
- rischio malware i file condivisi su Google Drive
- Malware Drovorub su Linux: il report di FBI e NSA
- hackers iraniani prendono di mira Asia e Russia con il ransomware DHARMA
