Особенность
Кибервойна и будущее кибербезопасности
Сегодняшние угрозы безопасности расширились по размаху и серьезности. Теперь миллионы или даже миллиарды долларов могут оказаться под угрозой, если информационная безопасность не будет обеспечена должным образом.
Читать далее
ФБР и АНБ опубликовали сегодня совместное предупреждение системы безопасности, содержащее подробную информацию о новом штамме вредоносного ПО для Linux, которое, по словам двух агентств, было разработано и применено в реальных атаках российскими военными хакерами.
Два агентства утверждают, что российские хакеры использовали вредоносное ПО, названное Drovorub для того, чтобы заложить бэкдоры во взломанные сети.
Основываясь на доказательствах, собранных двумя агентствами, официальные лица ФБР и АНБ утверждают, что вредоносная программа является продуктом APT28 (Fancy Bear, Sednit), кодовое имя, данное хакерам, действующим вне военного подразделения 26165 Российской Федерации. Главное разведывательное управление Генштаба (ГРУ) 85-й Главный центр специальной службы (ГЦСС).
Посредством совместного оповещения оба агентства надеются повысить осведомленность в частном и государственном секторах США, чтобы ИТ-администраторы могли быстро внедрить правила обнаружения и меры предотвращения.
Drovorub: швейцарский армейский нож APT28 для взлома Linux
По мнению двух агентств, Drovorub — это многокомпонентная система, которая поставляется с имплантатом, руткитом модуля ядра, инструментом передачи файлов, модуль переадресации портов и командно-управляющий (C2) сервер.
«Drovorub — это« швейцарский армейский нож »с возможностями, который позволяет злоумышленнику выполнять множество различных функций, таких как кража файлов и удаленное управление компьютером жертвы», — сказал технический директор McAfee Стив Гробман ZDNet в электронном письме сегодня.
«В дополнение к многочисленным возможностям Drovorub, он разработан для скрытности за счет использования передовых технологий« руткитов », затрудняющих обнаружение», — добавил руководитель McAfee. «Элемент скрытности позволяет оперативникам внедрять вредоносное ПО во множество различных типов целей, делая возможной атаку в любое время».
Изображение: ФБР и АНБ
«Соединенные Штаты представляют собой богатую целями среду для потенциальных кибератак. Цели Дроворуба не называются в отчете, но они могут варьироваться от промышленного шпионажа до вмешательства в выборы», — сказал Гробман.
«Технические подробности, опубликованные сегодня АНБ и ФБР по набору инструментов Drovorub APT28, очень ценны для киберзащитников в Соединенных Штатах».
Для предотвращения атак агентство рекомендует организациям из США обновить любую систему Linux до версии с ядром версии 3.7 или более поздней, «чтобы в полной мере воспользоваться принудительной подписью ядра», функцией безопасности, которая предотвратит APT28 хакерам от установки руткита Дроворуба.
Совместное предупреждение системы безопасности [PDF] содержит руководство по запуску Volatility, зондирование поведения при сокрытии файлов, правила Snort и правила Yara — все это полезно для развертывания надлежащих мер обнаружения.
Некоторые интересные детали, которые мы собрали из 45-страничного предупреждения системы безопасности:
- Имя Drovorub — это имя, которое APT28 использует для вредоносной программы, а не имя, присвоенное АНБ или ФБР.
- Название происходит от drovo [дрово]что переводится как «дрова» или «дрова» и рубить [руб]что переводится как «падать» или «рубить».
- ФБР и АНБ заявили, что им удалось связать Drovorub с APT28 после того, как российские хакеры повторно использовали серверы для различных операций. Например, два агентства заявляют, что Drovorub был подключен к C&C серверу, который ранее использовался в прошлом для операций APT28, нацеленных на устройства IoT весной 2019 года. IP-адрес был ранее задокументирован Microsoft.
]
