El FBI y la NSA han publicado hoy una alerta de seguridad conjunta que contiene detalles sobre una nueva cepa de malware de Linux que, según las dos agencias, fue desarrollada y desplegada en ataques del mundo real por piratas informáticos militares de Rusia.
Las dos agencias dicen que los piratas informáticos rusos utilizaron el malware, llamado Drovorub , para plantar puertas traseras dentro de redes pirateadas.
Según la evidencia que han recopilado las dos agencias, los funcionarios del FBI y la NSA afirman que el malware es obra de APT28 (Fancy Bear, Sednit) , un nombre en clave dado a los piratas informáticos que operan desde la unidad militar 26165 de la Dirección Principal de Inteligencia del Estado Mayor Ruso (GRU ) 85o Centro Principal de Servicios Especiales (GTsSS).
A través de su alerta conjunta, las dos agencias esperan crear conciencia en los sectores público y privado de EE. UU. Para que los administradores de TI puedan implementar rápidamente reglas de detección y medidas de prevención.
Drovorub: la navaja suiza de APT28 para piratear Linux
Según las dos agencias, Drovorub es un sistema multicomponente que viene con un implante, un rootkit del módulo del kernel, una herramienta de transferencia de archivos, un módulo de reenvío de puertos y un servidor de comando y control (C2).
«Drovorub es una ‘navaja suiza’ de capacidades que le permite al atacante realizar muchas funciones diferentes, como robar archivos y controlar remotamente la computadora de la víctima», dijo el CTO de McAfee, Steve Grobman, a ZDNet en un correo electrónico hoy.
«Además de las múltiples capacidades de Drovorub, está diseñado para ser sigiloso al utilizar tecnologías avanzadas de ‘rootkit’ que dificultan la detección», agregó el ejecutivo de McAfee. «El elemento de sigilo permite a los operativos implantar el malware en muchos tipos diferentes de objetivos, lo que permite un ataque en cualquier momento».
«Estados Unidos es un entorno rico en objetivos para posibles ataques cibernéticos. Los objetivos de Drovorub no se mencionaron en el informe, pero podrían variar desde el espionaje industrial hasta la interferencia electoral», dijo Grobman.
«Los detalles técnicos publicados hoy por la NSA y el FBI sobre el conjunto de herramientas Drovorub de APT28 son muy valiosos para los defensores cibernéticos en los Estados Unidos».
Para evitar ataques, la agencia recomienda que las organizaciones estadounidenses actualicen cualquier sistema Linux a una versión del kernel 3.7 o posterior, «para aprovechar al máximo la aplicación de la firma del kernel», una característica de seguridad que evitaría que los piratas informáticos de APT28 instalen el rootkit de Drovorub.
La alerta de seguridad conjunta [ PDF ] contiene una guía para ejecutar Volatility, sondear el comportamiento de ocultación de archivos, reglas de Snort y reglas de Yara, todas útiles para implementar las medidas de detección adecuadas.
Algunos detalles interesantes que recopilamos de la alerta de seguridad de 45 páginas:
- El nombre Drovorub es el nombre que APT28 usa para el malware, y no uno asignado por la NSA o el FBI.
- El nombre proviene de drovo [дрово], que se traduce como «leña», o «madera» y frote [руб], que se traduce como «talar» o «picar».
- El FBI y la NSA dijeron que pudieron vincular Drovorub a APT28 después de que los piratas informáticos rusos reutilizaran los servidores en diferentes operaciones. Por ejemplo, las dos agencias afirman que Drovorub se conectó a un servidor C&C que se usó anteriormente en el pasado para operaciones APT28 dirigidas a dispositivos IoT en la primavera de 2019 . Microsoft había documentado previamente la dirección IP.
