Un dangereux malware Linux appelé Drovorub a récemment été découvert comme étant un outil d'espionnage utilisé par des pirates informatiques russes dans des campagnes d'attaque.. Des nouvelles récentes à son sujet révèlent que la portée des intrusions pourrait avoir un impact particulièrement élevé. Des détails à ce sujet ont été publiés par la NSA et le FBI.
La NSA et le FBI publient des détails sur le logiciel malveillant Drovorub Linux: Rapporté comme étant fabriqué par des pirates informatiques russes
Un joint divulgation publique publié par le FBI et la NSA donnent des détails sur le malware Drovorub Linux jusqu'alors inconnu. Les agences gouvernementales dans leur divulgation notent que le partage public d'informations à ce sujet est fait dans le but d'éclairer le public sur les menaces continues contre les États-Unis et leurs alliés.. Selon les informations disponibles, les hackers sont des criminels russes à motivation politique.
La découverte du virus s'est faite en amassant les différentes sources de renseignement et la propre puissance analytique des agences. La divulgation publique répertorie également les informations provenant de partenaires étrangers et de l'industrie informatique. Le gouvernement américain blâme le n Direction générale du renseignement de l'état-major (GRUE À TOUR) 85Centre de service spécial principal (GTsSS) pour le développement du malware Linux. Ce que l'on sait de cette organisation, c'est qu'elle utilise de nombreuses méthodes et techniques complexes afin de développer des menaces très sophistiquées.. Le malware Drovorub Linux est décrit comme un menace à plusieurs composants contenant plusieurs modules dangereux.
Capacités des logiciels malveillants Droorub Linux: Un regard en profondeur
L'infection se produit via l'exécution d'un agent local. Cela signifie que les pirates devront utiliser des techniques de distribution qui installeront ce chargeur initial sur les systèmes cibles.
Ils peuvent inclure divers stratégies de phishing qui sont conçus pour amener les victimes à penser qu'elles accèdent à des contenus légitimes. Les transporteurs populaires de ce contenu sont messages électroniques et spécialement créé sites contrôlés hacker. Ils peuvent être hébergés sur des noms de domaine similaires et utiliser de faux contenus et des certificats de sécurité auto-signés afin de manipuler les victimes. En utilisant ces supports, les fichiers de virus peuvent être livrés directement sous forme de téléchargements ou insérés sous forme de liens.
Des techniques alternatives sont l'utilisation de attaques de piratage directes qui tentent d'exploiter toutes les vulnérabilités de sécurité détectées. Il peut également être installé par d'autres logiciels malveillants tels que les chevaux de Troie et les ransomwares. De par sa conception, il doit être livré sous la forme d'un rootkit — un virus avancé qui devrait s'installer silencieusement dans les modules du système d'exploitation de base. Cela rend la détection et la suppression très difficiles.
Une fois déployé sur un système Linux donné, le virus démarrera l'agent local qui se connectera à un serveur contrôlé par un pirate informatique permettant aux attaquants distants de prendre le contrôle des machines et de voler des données sensibles. Il a été démontré que le logiciel malveillant Drovorub Linux inclut les fonctionnalités suivantes:
- Connexions de processus système — Le malware Drovorub peut se connecter au système en cours d'exécution et aux processus installés par l'utilisateur. Ceci est utilisé pour obtenir des privilèges administratifs et manipuler les fichiers de configuration du système de base. Cela peut entraîner de graves problèmes de performances et une perte de données.
- Installation persistante — Le malware peut se définir comme une menace persistante sur les systèmes Linux. Cela signifie que la menace se lancera au démarrage.
- Récupération de l'information — En utilisant la communication réseau, les criminels informatiques peuvent extraire des informations sensibles trouvées sur le système, ainsi que des fichiers.
- Évasion de sécurité — Le virus peut détecter si des applications et des services de sécurité sont installés et échapper à leurs analyses.
En raison de sa complexité, on pense que les attaquants utilisent le virus à des fins d'espionnage. Les administrateurs système sont invités à installer des modules de noyau qui ne sont signés que par une signature numérique fiable et valide. De nombreux criminels les utilisent comme vecteurs du malware.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: