Агентство національної безпеки США (АНБ) і Федеральне бюро розслідувань (ФБР) виявили наявність шкідливого програмного забезпечення (ПЗ), націленого на пристрої Linux. Обидва агентства заявляють, що за створенням шкідливої програми Drovorub стоїть Головне розвідувальне управління Росії (ГРУ).
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
85-й Головний центр спеціальної служби (ГЦСС) російського генерального штабу (ГРУ) військова частина 26165, діяльність якої іноді визначається приватним сектором як Fancy Bear, Strontium або APT 28, розгортає шкідливе ПЗ під назвою Drovorub, розроблене для Linux. системи в рамках операцій по кібершпіонажу. Більш детальну інформацію про Drovorub, включаючи методи виявлення та заходи щодо їх усунення, можна знайти в спільних рекомендаціях АНБ і ФБР з кібербезпеки.
За останні тижні було скоєно кілька кібератак на державні установи і органи. В кінці липня було багато розмов про другу масовану кібератаку Ірану на ізраїльську систему управління водними ресурсами, а кілька днів тому з'явилися повідомлення про те, що північнокорейська група Lazarus завдає ударів по ізраїльським військовим компаніям.
Тепер повідомлення про шкідливі програми, що створюється російською спецслужбою ГРУ, з'явилися на сайті ФБР. Росіян не раз підозрювали в створенні інструментів для кібератак на владу інших країн. І до сих пір шкідливі програми ніколи не брали участь в зараженні пристроїв Linux. Американці не розкривають, чи завдало виявлене ними шкідливе ПО будь-якої шкоди.
Drovorub складається з декількох компонентів - імплантату, пов'язаного з руткітом модуля ядра, утиліти передачі файлів і переадресації портів, а також сервера управління і контролю (C2). Після зараження машини шкідливе ПО забезпечує прямий зв'язок з інфраструктурою, контрольованої зловмисниками. Таким чином, хакери отримують можливість завантажувати і вивантажувати файли, виконувати будь-яку команду від імені користувача root, перенаправляти мережевий трафік на інші хости.
"Виявлення цієї шкідливої програми - складний процес, особливо на локальному рівні. При виявленні Drovorub має бути здійснена корисна перевірка пакетів на периметрі мережі. Інші дії включають зондування продуктів безпеки, аналіз пам'яті і аналіз мультимедіа. Хоча ніяких виправлень для вирішення проблеми немає, рекомендується оновити ядро до Linux Kernel 3.7 або вище", - коментує Маріуш Політовіч з Marken, дистриб'ютора Bitdefender в Польщі.
Джерела
NSA and FBI Expose Russian Previously Undisclosed Malware Drovorub in Cybersecurity Advisory
FBI oskarża rosyjski wywiad. GRU miał stworzyć malware "Drovorub" na Linuxa