ФБР и АНБ опубликовали совместное предупреждение, изобилующее техническими подробностями, в котором рассказали о малвари Drovorub, ориентированной на Linux-системы и предназначенной для создания бэкдоров.
По мнению исследователей, эта малварь была создана российскими хакерами из группировки APT28 (она же Fancy Bear, Strontium, Pawn Storm, Sofacy и так далее), которую исследователи давно связывают с российскими спецслужбами, а именно с 85-м главным центром специальной службы ГРУ.
Представители ФБР и АНБ утверждают, что им удалось связать Drovorub с APT28 благодаря тому, что хакеры повторно используют одни и те же серверы для различных операций. Так, Drovorub подключается к управляющему серверу, который в 2019 году уже использовался для атак, нацеленных на IoT-устройства. Тогда IP-адрес этого сервера был задокументирован специалистами Microsoft.
Drovorub представляет собой многокомпонентную систему, которая поставляется с имплантатом, руткитом в виде модуля ядра, инструментом для передачи файлов, модулем переадресации портов и управляющим сервером.
«Drovorub — это “швейцарский нож”, который позволяет злоумышленниками выполнять множество различных операций, включая хищение файлов и удаленное управление компьютером жертвы, — комментируют специалисты компании McAfee. — Он был создан для скрытной работы и для этого использует руткиты, затрудняющие обнаружение».
Чтобы обезопасить себя от Drovorub, американские правоохранители рекомендуют организациям в США обновить системы до версии с ядром Linux 3.7 или более поздней, чтобы принудительная проверка подписей ядра и модулей препятствовали работе Drovorub. Также в 45-страничном документе содержатся руководство по запуску Volatility, правила Snort и Yara и другая полезная для обнаружения возможной компрометации информация.
Интересно, что название Drovorub малвари дали не исследователи, а сами хакеры. Известный ИБ-специалист Дмитрий Альперович, давно занимающийся изучением российских хакерских кампаний, напоминает, что «дрова» на русскоязычном сленге – это драйверы, и название следует трактовать именно в этом ключе.
Re: malware name “Drovorub”, which as @NSACyber points out translates directly as “woodcutter”
— Dmitri Alperovitch (@DAlperovitch) August 13, 2020
However, more importantly, “Drova” is slang in Russian for “drivers”, as in kernel drivers. So the name likely was chosen to mean “(security) driver slayer" https://t.co/yToULwp3xw