ФБР и АНБ опубликовали совместное предупреждение, изобилующее техническими подробностями, в котором рассказали о малвари Drovorub, ориентированной на Linux-системы и предназначенной для создания бэкдоров.

По мнению исследователей, эта малварь была создана российскими хакерами из группировки APT28 (она же Fancy Bear, Strontium, Pawn Storm, Sofacy и так далее), которую исследователи давно связывают с российскими спецслужбами, а именно с 85-м главным центром специальной службы ГРУ.

Представители ФБР и АНБ утверждают, что им удалось связать Drovorub с APT28 благодаря тому, что хакеры повторно используют одни и те же серверы для различных операций. Так, Drovorub подключается к управляющему серверу, который в 2019 году уже использовался для атак, нацеленных на IoT-устройства. Тогда IP-адрес этого сервера был задокументирован специалистами Microsoft.

Drovorub представляет собой многокомпонентную систему, которая поставляется с имплантатом, руткитом в виде модуля ядра, инструментом для передачи файлов, модулем переадресации портов и управляющим сервером.

«Drovorub — это “швейцарский нож”, который позволяет злоумышленниками выполнять множество различных операций, включая хищение файлов и удаленное управление компьютером жертвы, — комментируют специалисты компании McAfee. — Он был создан для скрытной работы и для этого использует руткиты, затрудняющие обнаружение».

Чтобы обезопасить себя от Drovorub, американские правоохранители рекомендуют организациям в США обновить системы до версии с ядром Linux 3.7 или более поздней, чтобы принудительная проверка подписей ядра и модулей препятствовали работе Drovorub. Также в 45-страничном документе содержатся руководство по запуску Volatility, правила Snort и Yara и другая полезная для обнаружения возможной компрометации информация.

Интересно, что название Drovorub малвари дали не исследователи, а сами хакеры. Известный ИБ-специалист Дмитрий Альперович, давно занимающийся изучением российских хакерских кампаний, напоминает, что «дрова» на русскоязычном сленге – это драйверы, и название следует трактовать именно в этом ключе.

 

1 комментарий

  1. Аватар

    mitrofanzzz

    19.08.2020 в 15:13

    Ну нет у спецслужб другого IP адреса. Бюджет урезали, а план горит…

Оставить мнение