È stato recentemente scoperto che un pericoloso malware Linux chiamato Drovorub è uno strumento di spionaggio utilizzato dagli hacker russi nelle campagne di attacco. Notizie recenti in merito rivelano che la portata delle intrusioni potrebbe avere un impatto particolarmente elevato. I dettagli a riguardo sono stati rilasciati dalla NSA e dall'FBI.
NSA e FBI pubblicano dettagli sul malware Drovorub Linux: Segnalato per essere realizzato da hacker russi
Un giunto informativa al pubblico rilasciato dall'FBI e dalla NSA fornisce dettagli sul malware Drovorub Linux precedentemente sconosciuto. Le agenzie governative nella loro divulgazione sottolineano che la condivisione pubblica di informazioni su di essa viene effettuata al fine di illuminare il pubblico sulle minacce in corso agli Stati Uniti e ai loro alleati. Secondo le informazioni disponibili, gli hacker sono criminali russi politicamente motivati.
La scoperta del virus è stata fatta accumulando le diverse fonti di intelligence e il proprio potere analitico delle agenzie. L'informativa al pubblico elenca anche informazioni tratte da partner esteri e dal settore IT. Il governo USA incolpa il n Direzione generale dell'intelligence dello Stato maggiore (GRU) 85° Centro servizi speciali principali (GTsSS) per lo sviluppo del malware Linux. Quello che si sa di questa organizzazione è che utilizza molti metodi e tecniche complessi per sviluppare minacce altamente sofisticate. Il malware Drovorub Linux è descritto come un file minaccia multicomponente contenente diversi moduli pericolosi al suo interno.
Droorub Linux Malware Funzionalità: Uno sguardo approfondito
L'infezione avviene tramite l'esecuzione di un agente locale. Ciò significa che gli hacker dovranno utilizzare tecniche di distribuzione che installeranno questo caricatore iniziale sui sistemi di destinazione.
Possono includere vari strategie di phishing che hanno lo scopo di confondere le vittime facendole credere di accedere a contenuti legittimi. I vettori popolari di tali contenuti sono messaggi e-mail e creato appositamente siti pirata a controllo. Possono essere ospitati su nomi di dominio dal suono simile e utilizzare contenuti falsi e certificati di sicurezza autofirmati per manipolare le vittime. Utilizzando questi vettori i file dei virus possono essere consegnati direttamente come download o inseriti come collegamenti.
Le tecniche alternative sono l'uso di attacchi di hacking diretti che tentano di sfruttare qualsiasi vulnerabilità di sicurezza rilevata. Può anche essere installato da altri malware come Trojan e ransomware. In base alla progettazione, dovrebbe essere fornito come una forma di a rootkit — un virus avanzato che dovrebbe installarsi silenziosamente nei moduli del sistema operativo principale. Ciò rende molto difficile il rilevamento e la rimozione.
Una volta distribuito su un dato sistema Linux, il virus avvierà l'agente locale che si connetterà a un server controllato da hacker consentendo agli aggressori remoti di assumere il controllo delle macchine e rubare dati sensibili. È stato dimostrato che il malware Drovorub Linux include le seguenti funzionalità:
- Collegamenti al processo di sistema — Il malware Drovorub può agganciarsi al sistema in esecuzione e ai processi installati dall'utente. Viene utilizzato per ottenere privilegi amministrativi e manipolare i file di configurazione del sistema di base. Ciò può causare gravi problemi di prestazioni e perdita di dati.
- Installazione Persistent — Il malware può configurarsi come una minaccia persistente sui sistemi Linux. Ciò significa che la minaccia verrà avviata all'avvio.
- Recupero delle informazioni — Utilizzando la comunicazione di rete i criminali informatici possono estrarre informazioni sensibili trovate nel sistema, così come i file.
- Evasione di sicurezza — Il virus può rilevare se sono presenti applicazioni e servizi di sicurezza installati ed eludere le loro scansioni.
A causa della sua complessità, si ritiene che gli aggressori utilizzino il virus per scopi di spionaggio. Si consiglia agli amministratori di sistema di installare i moduli del kernel che sono firmati solo da una firma digitale affidabile e valida. Molti criminali li usano come vettori per il malware.