Drovorub: il Malware che attacca Linux

L’FBI e la NSA hanno pubblicato un rapporto sul malware basato in Russia che attacca Linux noto come Drovorub.

Drovorub utilizza un rootkit del modulo del kernel consentendo di controllare il computer da remoto, evitando ogni suo rilevamento mentre è in azione. Il malware è facile da individuare se si scaricano informazioni non elaborate dalla rete, ma il modulo del kernel quindi lo rende difficile da trovare, agganciando molte delle sue funzioni in modo che i processi possano essere nascosti.

La fonte del malware è stata rintracciata presso il GRU, Direttorato principale per l’informazione e servizio informazioni delle forze armate russe.

La suite di malware Drovorub è composta da quattro componenti eseguibili separati: Drovorub-agent, Drovorub-client, Drovorub-server e Drovorub-kernel module. La comunicazione tra i componenti avviene tramite JSON su WebSocket. (Fette & Melnikov, 2011) Drovorub-agent, Drovorub-client e Drovorub-server richiedono file di configurazione e una chiave pubblica RSA (per Drovorub-agent e Drovorub-client) o una chiave privata (per Drovorub-server) per comunicazione.

Andrea Biraghi ultime notizie
Andrea Biraghi ultime notizie
Fonte:
Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware — FBI — NSA

Il report si può leggere a questo link: Report sul malware Dovurub di matrice russa che attacca Linux

What is Drovorub?

Drovorub is a Linux malware toolset consisting of an implant coupled with a kernel module rootkit, a file transfer and port forwarding tool, and a Command and Control (C2) server. When deployed on a victim machine, the Drovorub implant (client) provides the capability for direct communications with actor- controlled C2 infrastructure (T1071.0011); file download and upload capabilities (T1041); execution of arbitrary commands as “root” (T1059.004); and port forwarding of network traffic to other hosts on the network (T1090). The kernel module rootkit uses a variety of means to hide itself and the implant on infected devices (T1014), and persists through reboot of an infected machine unless UEFI secure boot is enabled in “Full” or “Thorough” mode. Despite this concealment, effective detection techniques and mitigation strategies are described below.

Fonte: Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware — FBI — NSA

Andrea Biraghi ultime notizie e rassegna stampa cybersecurity 24 Agosto 2020

Andrea Biraghi ultime notizie e rassegna stampa su cybersecurity del 24 Agosto 2020

Written by

Andrea Biraghi è amministratore delegato Comdata. Esperto in Cyber Security, Security & Information System. Project Manager digitalizzazione e sicurezza IT.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store