Onlangs is ontdekt dat de gevaarlijke Linux-malware Drovorub een spionagetool is die door Russische hackers wordt gebruikt in aanvalscampagnes. Recent nieuws hierover laat zien dat de omvang van de inbraken een bijzonder grote impact kan hebben. Details daarover zijn vrijgegeven door de NSA en de FBI.
NSA en FBI publiceren details over de Drovorub Linux Malware: Naar verluidt gemaakt door Russische hackers
Een joint openbaarmaking uitgegeven door de FBI en de NSA geven details over de voorheen onbekende Drovorub Linux-malware. De overheidsinstanties merken in hun openbaarmaking op dat het openbaar delen van informatie erover wordt gedaan om het publiek te informeren over de voortdurende bedreigingen voor de Verenigde Staten en hun bondgenoten. Volgens de beschikbare informatie zijn de hackers politiek gemotiveerde Russische criminelen.
De ontdekking van het virus werd gedaan door de verschillende inlichtingenbronnen en eigen analytische kracht van de agentschappen te verzamelen. De openbaarmaking bevat ook informatie van buitenlandse partners en de IT-industrie. De Amerikaanse regering geeft de schuld aan n Generale Staf Hoofdinlichtingendienst (BOUWKRAAN) 85het belangrijkste speciale servicecentrum (GTsSS) voor de ontwikkeling van de Linux-malware. Wat bekend is over deze organisatie, is dat ze veel complexe methoden en technieken gebruikt om de zeer geavanceerde dreigingen te ontwikkelen. De Drovorub Linux-malware wordt beschreven als een dreiging met meerdere componenten met daarin verschillende gevaarlijke modules.
Droorub Linux Malware-mogelijkheden: Een diepgaande blik
De infectie vindt plaats via de uitvoering van een lokale agent. Dit betekent dat de hackers distributietechnieken moeten gebruiken die deze initiële lader op de doelsystemen zullen installeren.
Ze kunnen omvatten verschillende phishing strategieën die zijn ontworpen om de slachtoffers te laten denken dat ze toegang hebben tot legitieme inhoud. Populaire providers van dergelijke inhoud zijn e-mailberichten en speciaal gemaakt -Hacker gecontroleerde locaties. Ze kunnen worden gehost op vergelijkbaar klinkende domeinnamen en maken gebruik van valse inhoud en zelfondertekende beveiligingscertificaten om de slachtoffers te manipuleren. Met behulp van deze dragers kunnen de virusbestanden direct als download worden geleverd of als links worden ingevoegd.
Alternatieve technieken zijn het gebruik van directe hackaanvallen die proberen om gedetecteerde beveiligingsproblemen te misbruiken. Het kan ook worden geïnstalleerd door andere malware, zoals Trojaanse paarden en ransomware. Door ontwerp moet het worden geleverd als een vorm van een rootkit — een geavanceerd virus dat zichzelf stilletjes zou moeten installeren in de kernmodules van het besturingssysteem. Dit maakt zowel detectie als verwijdering erg moeilijk.
Eenmaal geïmplementeerd op een bepaald Linux-systeem, start het virus de lokale agent die verbinding maakt met een door een hacker gecontroleerde server, waardoor de externe aanvallers de controle over de machines kunnen overnemen en gevoelige gegevens kunnen stelen. Er is aangetoond dat de Drovorub Linux-malware de volgende functionaliteit bevat:
- Systeemprocesaansluitingen — De Drovorub-malware kan zichzelf koppelen aan actieve systeem- en door de gebruiker geïnstalleerde processen. Dit wordt gebruikt om beheerdersrechten te verkrijgen en kernconfiguratiebestanden van het systeem te manipuleren. Dit kan leiden tot ernstige prestatieproblemen en verlies van gegevens.
- persistent Installatie — De malware kan zichzelf als een aanhoudende bedreiging op Linux-systemen instellen. Dit betekent dat de dreiging bij het opstarten wordt gestart.
- Information Retrieval — Met behulp van de netwerkcommunicatie kunnen computercriminelen gevoelige informatie uit het systeem extraheren, evenals bestanden.
- Beveiligingsontduiking — Het virus kan detecteren of er geïnstalleerde beveiligingstoepassingen en -services zijn en hun scans omzeilen.
Vanwege de complexiteit wordt aangenomen dat de aanvallers het virus gebruiken voor spionagedoeleinden. Systeembeheerders wordt aangeraden kernelmodules te installeren die alleen zijn ondertekend met een betrouwbare en geldige digitale handtekening. Veel criminelen gebruiken ze als dragers voor de malware.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: