La NSA y el FBI advierten que el nuevo malware de Linux amenaza la seguridad nacional

El FBI y la NSA emitieron un informe conjunto advirtiendo que los piratas informáticos estatales rusos están utilizando una pieza de malware de Linux previamente desconocida para colarse en redes sensibles, robar información confidencial y ejecutar comandos maliciosos.

En un informe inusual por la profundidad de los detalles técnicos de una agencia gubernamental, las autoridades dijeron que el malware Drovorub es un conjunto de herramientas completo que no se detectó hasta hace poco. El malware se conecta a servidores de comando y control operados por un grupo de piratas informáticos que trabajan para GRU, la agencia de inteligencia militar de Rusia que ha estado vinculada a más de una década de campañas avanzadas y descaradas, muchas de las cuales han infligido graves daños al Seguridad nacional.

“La información sobre este Consejo de Ciberseguridad se pone a disposición del público para ayudar a los propietarios del Sistema de Seguridad Nacional y al público a oponerse a las capacidades de GRU, una organización que continúa amenazando a Estados Unidos y sus aliados como parte de su comportamiento deshonesto. , incluida su interferencia en las elecciones presidenciales de EE. UU. de 2016, como se describe en la Comunidad de Inteligencia de 2017 Evaluación, valoración de las actividades e intenciones de Rusia en las recientes elecciones estadounidenses (Oficina del Director de Inteligencia Nacional, 2017) ”, escribieron funcionarios de la agencia.

Sigiloso, potente y lleno de funciones

El kit de herramientas Drovorub incluye cuatro componentes principales: un cliente que infecta dispositivos Linux; un módulo de kernel que utiliza tácticas de rootkit para ganar persistencia y ocultar su presencia de los sistemas operativos y las defensas de seguridad; un servidor que se ejecuta en una infraestructura operada por un atacante para controlar las máquinas infectadas y recibir datos robados; y un agente que utiliza servidores comprometidos o máquinas de control de atacantes para actuar como intermediario entre las máquinas infectadas y los servidores.

Un rootkit es un tipo de malware que se infiltra profundamente en el kernel del sistema operativo de manera que evita que la interfaz registre archivos maliciosos o los procesos que generan. Utiliza una variedad de otras técnicas para hacer que las infecciones sean invisibles para las formas normales de antivirus. Drovorub también hace todo lo posible para camuflar el tráfico que entra y sale de una red infectada.

El malware se ejecuta con privilegios de root sin restricciones, lo que brinda a los operadores el control total de un sistema. Viene con un menú completo de características, lo que hace que el malware sea equivalente a una navaja suiza.

Asesino del conductor de seguridad

Funcionarios del gobierno dijeron que Drovorub recibió su nombre de cadenas dejadas involuntariamente en el código. «Drovo» se traduce aproximadamente como «madera» o «leña», mientras que «frotar» se traduce como «caer» o «cortar». Juntos, dijo el gobierno, Drovorub significa «leñador» o «cortar madera». Dmitri Alperovitch, un investigador de seguridad que ha pasado la mayor parte de su carrera investigando campañas de piratería en Rusia, incluida la que tuvo como objetivo al DNC en 2016, ofreció una interpretación diferente.

«Re: nombre del malware ‘Drovorub’, que como indica @NSACyber ​​se traduce directamente como ‘leñador'», Alperovitch, cofundador y ex CTO de la empresa de seguridad CrowdStrike, escribió en Twitter. “Sin embargo, lo que es más importante, ‘Drova’ es jerga en ruso para ‘controladores’, como en los controladores del kernel. Por lo tanto, el nombre probablemente fue elegido para significar «asesino de conductores (seguridad)».

Al servicio de los intereses nacionales de Rusia durante más de una década

Drovorub se suma a un caché ya abundante de herramientas y tácticas previamente conocidas utilizadas por APT 28, el grupo de piratería militar ruso que otros investigadores llaman Fancy Bear, Strontium, Pawn Storm, Sofacy, Sednit y Tsar Team. Los ataques del grupo sirven a los intereses del gobierno ruso y se dirigen a países y organizaciones que el Kremlin considera adversarios.

En agosto, Microsoft informó que el grupo había estado pirateando impresoras, decodificadores de video y otros dispositivos llamados Internet de las cosas y usándolos como puente de comando para penetrar en las redes de computadoras a las que estaban conectados. En 2018, investigadores del grupo Cisco Talos descubrieron la infección APT 28 en más de 500.000 enrutadores de consumidores en 54 países que podrían usarse para varios propósitos nefastos.

Otras campañas vinculadas a APT 28 incluyen:

La declaración del jueves no identificó las organizaciones a las que se dirige Drovorub ni proporcionó descripciones amplias de los objetivos o geografías donde se encuentran. Tampoco dijo cuánto tiempo ha existido el malware, cuántas infecciones conocidas se han producido hasta ahora o cómo los piratas informáticos están infectando los servidores. APT 28 a menudo depende de spam malicioso o ataques de phishing que infectan computadoras o roban contraseñas. El grupo también explota vulnerabilidades en dispositivos que no se han solucionado.

Lectura obligatoria

Los funcionarios de la agencia dijeron que una defensa clave contra Drovorub es garantizar que todas las actualizaciones de seguridad estén instaladas. La declaración también recomendó que, como mínimo, los servidores ejecuten el kernel de Linux versión 3.7 o posterior para que las organizaciones puedan usar protecciones mejoradas de firma de código, que usan certificados criptográficos para garantizar que una aplicación, controlador o módulo provenga de una fuente conocida. y confiable y no ha sido manipulado por nadie.

«Además, se recomienda a los propietarios de sistemas que configuren los sistemas para cargar sólo módulos con una firma digital válida, lo que dificulta que un actor inserte un módulo de kernel malicioso en el sistema», se lee en el comunicado.

También se incluyen reglas que los administradores de red pueden conectarse a los sistemas de detección de intrusos Yara y Snort para capturar y detener el tráfico de red que pasa hacia o desde servidores de control o para señalar archivos o procesos Drovorub ofuscados que ya se están ejecutando en un servidor. .

El documento de 45 páginas proporciona un nivel de detalle técnico y análisis informado que está a la par con algunas de las mejores investigaciones de empresas privadas. El aviso también es el primero en revelar la existencia de este nuevo y avanzado malware. Estas son cosas que rara vez están disponibles en los avisos gubernamentales. El informe debe ser lectura obligatoria para cualquier persona que administre una red.