En farlig Linux-malware kaldet Drovorub er for nylig blevet opdaget at være et spionage-værktøj, der bruges af russiske hackere i angrebskampagner. Seneste nyheder om det afslører, at omfanget af indtrængen kan have særlig stor betydning. Detaljer om det blev frigivet fra NSA og FBI.
NSA og FBI offentliggør detaljer om Drovorub Linux Malware: Rapporteret at være lavet af russiske hackere
En joint offentliggørelse udstedt af FBI og NSA giver detaljer om den tidligere ukendte Drovorub Linux malware. Regeringsorganerne bemærker i deres afsløring, at den offentlige deling af information om det sker for at oplyse offentligheden om de igangværende trusler mod USA og dets allierede. Ifølge de tilgængelige oplysninger er hackerne politisk motiverede russiske kriminelle.
Opdagelsen af virussen blev gjort ved at samle agenturernes forskellige intelligenskilder og egen analytiske magt. Offentlig offentliggørelse lister også oplysninger hentet fra udenlandske partnere og it-branchen. Den amerikanske regering beskylder n Generaldirektoratet for hoved efterretningsinformation (Tårnkran) 85det vigtigste specialcenter (GTsSS) til udvikling af Linux malware. Hvad der vides om denne organisation er, at den bruger en masse komplekse metoder og teknikker til at udvikle de meget sofistikerede trusler. Drovorub Linux-malware er beskrevet som en trussel mod flere komponenter der indeholder flere farlige moduler i det.
Droorub Linux Malware kapaciteter: Et dybtgående look
Infektionen sker gennem en lokal agentudførelse. Dette betyder, at hackerne bliver nødt til at bruge distributionsteknikker, der installerer denne indledende loader på målsystemerne.
De kan indeholde forskellige phishing strategier som er designet til at forvirre ofrene til at tro, at de får adgang til legitimt indhold. Populære udbydere af sådant indhold er e-mails og specielt oprettet hacker-kontrollerede sites. De kan hostes på lignende lydende domænenavne og bruge falske indhold og selvsignerede sikkerhedscertifikater for at manipulere ofrene. Ved hjælp af disse bærere kan virusfilerne leveres direkte som downloads eller indsættes som links.
Alternative teknikker er brugen af direkte hackingangreb der forsøger at udnytte alle detekterede sikkerhedssårbarheder. Det kan også installeres af anden malware, såsom trojanske heste og ransomware. Efter design skal den leveres som en form for en rootkit — en avanceret virus, der tavs skal installere sig selv i kerneoperativsystemmoduler. Dette gør både detektion og fjernelse meget vanskelig.
Når først den er implementeret på et givet Linux-system, vil virussen starte den lokale agent, som vil oprette forbindelse til en hacker-kontrolleret server, der giver fjernangrebene mulighed for at overtage kontrollen over maskinerne og stjæle følsomme data. Det er vist, at Drovorub Linux-malware indeholder følgende funktionalitet:
- Tilslutning til systemproces — Drovorub-malware kan koble sig til kørende system- og brugerinstallerede processer. Dette bruges til at tage få administrative rettigheder og manipulere kernesystemkonfigurationsfiler. Dette kan resultere i alvorlige ydelsesproblemer og tab af data.
- Vedvarende installation — Malware kan indstille sig selv som en vedvarende trussel på Linux-systemer. Dette betyder, at truslen vil starte ved opstart.
- Informationssøgning — Brug af netværkskommunikation kan computerkriminelle udtrække følsomme oplysninger, der findes på systemet, såvel som filer.
- Sikkerhedsunddragelse — Virussen kan registrere, om der er installerede sikkerhedsapplikationer og -tjenester, og undgå deres scanninger.
På grund af dets kompleksitet menes det, at angriberen bruger virussen til spionageformål. Systemadministratorer tilrådes at installere kernemoduler, der kun er underskrevet af en betroet og gyldig digital signatur. Mange kriminelle bruger dem som bærere af malware.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: