Yaakov's Group | Ciberseguridad

El FBI y la NSA exponen el nuevo malware de Linux Drovorub, utilizado por hackers estatales rusos

Comparte este post en tus redes sociales

El FBI y la NSA emiten una alerta de seguridad conjunta que contiene detalles técnicos sobre el nuevo malware de Linux desarrollado por los piratas informáticos militares de Rusia.

El FBI y la NSA han publicado hoy una alerta de seguridad conjunta que contiene detalles sobre una nueva cepa de malware de Linux que, según las dos agencias, fue desarrollada y desplegada en ataques del mundo real por piratas informáticos militares rusos.

Las dos agencias dicen que los piratas informáticos rusos utilizaron el malware, llamado Drovorub, para plantar puertas traseras dentro de redes pirateadas.

Según la evidencia que han recopilado las dos agencias, los funcionarios del FBI y la NSA afirman que el malware es obra de APT28 (Fancy Bear, Sednit), un nombre en clave dado a los piratas informáticos que operan desde la unidad militar 26165 de la Dirección Principal de Inteligencia del Estado Mayor Ruso (GRU ) 85o Centro Principal de Servicios Especiales (GTsSS).

A través de su alerta conjunta, las dos agencias esperan crear conciencia en los sectores público y privado de EE. UU. Para que los administradores de TI puedan implementar rápidamente reglas de detección y medidas de prevención.

Drovorub: la navaja suiza de APT28 para piratear Linux

Según las dos agencias, Drovorub es un sistema multicomponente que viene con un implante, un rootkit del módulo del kernel, una herramienta de transferencia de archivos, un módulo de reenvío de puertos y un servidor de comando y control (C2).

«Drovorub es una ‘navaja suiza’ de capacidades que permite al atacante realizar muchas funciones diferentes, como robar archivos y controlar remotamente la computadora de la víctima», dijo a ZDNet en un correo electrónico el CTO de McAfee, Steve Grobman.

«Además de las múltiples capacidades de Drovorub, está diseñado para ser sigiloso al utilizar tecnologías avanzadas de ‘rootkit’ que dificultan la detección», agregó el ejecutivo de McAfee. «El elemento de sigilo permite a los operativos implantar el malware en muchos tipos diferentes de objetivos, lo que permite un ataque en cualquier momento».

«Estados Unidos es un entorno rico en objetivos para posibles ataques cibernéticos. Los objetivos de Drovorub no se mencionaron en el informe, pero podrían variar desde el espionaje industrial hasta la interferencia electoral», dijo Grobman.

«Los detalles técnicos publicados hoy por la NSA y el FBI sobre el conjunto de herramientas Drovorub de APT28 son muy valiosos para los defensores cibernéticos en los Estados Unidos».

Para evitar ataques, la agencia recomienda que las organizaciones estadounidenses actualicen cualquier sistema Linux a una versión del kernel 3.7 o posterior, «para aprovechar al máximo la aplicación de la firma del kernel», una característica de seguridad que evitaría que los piratas informáticos de APT28 instalen el rootkit de Drovorub.

La alerta de seguridad conjunta [PDF] contiene una guía para ejecutar Volatility, sondeo del comportamiento de ocultación de archivos, reglas de Snort y reglas de Yara, todas útiles para implementar las medidas de detección adecuadas.

Algunos detalles interesantes que recopilamos de la alerta de seguridad de 45 páginas:

  • El nombre Drovorub es el nombre que APT28 usa para el malware, y no uno asignado por la NSA o el FBI.
  • El nombre proviene de drovo [дрово], que se traduce como «leña», o «madera» y frote [руб], que se traduce como «talar» o «picar».
  • El FBI y la NSA dijeron que pudieron vincular Drovorub con APT28 después de que los piratas informáticos rusos reutilizaron los servidores en diferentes operaciones. Por ejemplo, las dos agencias afirman que Drovorub se conectó a un servidor C&C que se usó anteriormente en el pasado para operaciones APT28 dirigidas a dispositivos IoT en la primavera de 2019. La dirección IP había sido previamente documentada por Microsoft.

Fuente: ZDNET

Deja un comentario