FBI i NSA upozoravaju na novi Linux Malware

FBI i NSA upozoravaju na novi Linux Malware

U zglobu izvješće koju su izdali Federalni istražni ured (FBI) i Agencija za nacionalnu sigurnost (NSA) informacije o novom, ranije neprijavljenom zlonamjernom softveru nazvanom Drovorub, objavljene su u javnosti. Dvije su agencije pripisale zlonamjerni softver APT28, skupini s raznim kodnim imenima, ali praćenom kao Otmjeni medvjed , ovom publikacijom. Izvještaj sadrži bogatstvo tehničkih informacija za sve one koji trebaju ojačati svoj Linux sustav kako bi spriječili da postanu žrtve infekcije Drovorubom.



Sam zlonamjerni softver opisan je kao „ Švicarski nožić ”Jer se radi o višekomponentnom zlonamjernom softveru. Zlonamjerni softver sastoji se od implantata, rootkita modula jezgre, alata za prijenos datoteka, modula za prosljeđivanje priključaka i poslužitelja za naredbu i kontrolu (C2). To omogućava zlonamjernom softveru da izvodi razne funkcije, uključujući krađu podataka i daljinsko upravljanje zaraženim sustavom. Zlonamjerni softver postiže visoku razinu skrivanja i vrlo ga je teško otkriti, što se dodijeli zlonamjernom softveru korištenjem naprednih rootkit . Rootkit se obično definira kao dijelovi zlonamjernog koda koji postižu root pristup zaraženom sustavu dobivanjem privilegiranog pristupa sustavu. Odatle se mogu koristiti za obavljanje raznih zadataka, uključujući bilježenje ključeva, krađu datoteka, onemogućavanje antivirusnih proizvoda i niz drugih operacija koje favoriziraju državne sponzorirane grupe. U slučaju Drovoruba, rootkit omogućuje učitavanje zlonamjernog softvera nakon pokretanja, što dodatno dodaje postojanost u zaraženoj mreži jer će, za razliku od mnogih drugih obitelji zlonamjernog softvera, preživjeti ponovno pokretanje sustava. Nadalje, upotreba tako naprednog rootkita omogućuje Fancy Bearu da zarazi širok spektar ciljeva, kao i izvođenje napada u bilo kojem trenutku.



Iako izvješće koje su objavile dvije agencije ne spominje određene ciljeve, međutim, može se sa sigurnošću pretpostaviti da će organizacije u Sjevernoj Americi biti ciljane jer pružaju brojne mogućnosti hakerima svih vrsta, bilo da ih financira država ili financijski motiviraju . Strahuje se da se zbog skrivene i utilitarne prirode zlonamjernog softvera može koristiti u cyber špijunaži i uplitanju u izbore.

fbi i nsa upozoravaju na drovorub linux malware



Izvještaj, dug 45 stranica, detaljno opisuje nekoliko važnih detalja, a sažetak zanimljivijih dijelova prikazan je ovdje. Zlonamjerni softver nisu imenovali ni FBI ni NSA, a naziv je koji koristi Fancy Bear i može se približno prevesti kao cijepanje drva za ogrjev. Pripisivanje zlonamjernog softvera Fancy Bearu omogućili su hakeri koji su ponovno upotrebljavali poslužitelje tijekom nekoliko kampanja, uključujući jednu operaciju viđenu u distribuciji Drovoruba.

Drovorub je nekoć ciljao IoT uređaje

Fancy Bear ima naviku ciljati uređaje Interneta stvari (IoT), početkom 2019. Microsofta otkrio kampanja sposobna zaraziti IoT uređaje. Iste godine opet Microsoft nepokriveni još jedna kampanja koja cilja IoT uređaje. Pojedinosti o kasnijoj kampanji otkrivene su u kolovozu, no prema istraživačima, aktivnost Fancy Beara mogla bi se pratiti do travnja kada bi skupina pokušala ugroziti više IoT uređaja. Uređaji su sadržavali VOIP telefon, uredski pisač i video dekoder. U vrijeme kada je informatički div iz Redmonda izjavio,

“Istraga je otkrila da je glumac koristio ove uređaje za početni pristup korporativnim mrežama. U dva su slučaja lozinke za uređaje postavljene bez mijenjanja zadanih lozinki proizvođača, a u trećem slučaju najnovije sigurnosno ažuriranje nije primijenjeno na uređaju. Nakon što je dobio pristup svakom od IoT uređaja, glumac je pokrenuo tcpdump kako bi nanjušio mrežni promet na lokalnim podmrežama. Također su viđeni kako nabrajaju administrativne skupine u pokušaju daljnjeg iskorištavanja. Kako bi se glumac prebacio s jednog uređaja na drugi, ispustili bi jednostavnu skriptu ljuske kako bi uspostavili postojanost na mreži koja je omogućila prošireni pristup za nastavak lova. '



Prema FBI-u i NSA-i u barem jednom od tih slučajeva, čini se da je Drovorub bio raspoređen. Veza između kampanje i zlonamjernog softvera uspostavljena je nakon otkrića da je korištena ista IP adresa koju je prethodno dokumentirao Microsoft. Agencije su potvrdile Microsoftova otkrića, napominjući da,

“Uz pripisivanje NSA-e i FBI-a GTsSS-u, operativna infrastruktura zapovijedanja i upravljanja Drovorub-om povezana je s javno poznatom operativnom kiber-infrastrukturom GTsSS-a. Primjerice, 5. kolovoza 2019., Microsoft Security Response Center objavio je informacije koje IP adresu 82.118.242.171 povezuju s infrastrukturom Strontium u vezi s eksploatacijom uređaja Internet of Things (IoT) u travnju 2019. (Microsoft Security Response Center, 2019) (Microsoft, 2019.) NSA i FBI potvrdili su da je ta ista IP adresa korištena i za pristup IP adresi Drovorub C2 185.86.149.125 u travnju 2019. '

Izvještaj koji su objavile dvije američke agencije ulazi u detaljne detalje u vezi s tehničkim detaljima zlonamjernog softvera. To uključuje smjernice za pokretanje Volatility-a, ispitivanje ponašanja skrivanja datoteka, Snort pravila i Yara pravila za administratore kako bi razvili odgovarajuće metode otkrivanja i zaštitili mreže. Također, zaštitarska tvrtka McAfee Objavljeno članak na blogu s daljnjim sigurnosnim mjerama i preporukama za skeniranje rootkitova i učvršćivanje Linux jezgre osjetljive na zarazu. Za sve one koji su optuženi za obranu mreža ciljanih od strane država sponzoriranih grupa, ova bi se izvješća trebala smatrati obaveznim čitanjem. Što se tiče preventivnih mjera, gore spomenute agencije savjetuju administratore da ažuriraju Linux kernel na verziju 3.7 ili noviju. Ovo je za iskorištavanje značajke OS-a koja implementira provedbu potpisivanja kernela. Nadalje, administratori bi trebali konfigurirati sustave na takav način da sustav učitava samo module s valjanim digitalnim potpisom.

Zašto Linux i IoT uređaji?

Mnogima se postavlja pitanje zašto uopće stvarati zlonamjerni softver koji cilja Linux? Razloga je mnogo, ali jedan od glavnih je taj što kako je Linux otvoren izvor, a sve više proizvođača i velikih tvrtki usvajaju hardver s Linuxom, raste potreba za hakerima za razvojem Linux zlonamjernog softvera. Istina je da velika većina zlonamjernog softvera cilja korisnike Microsofta, jer OS ima mnogo veću bazu korisnika, a ranjivosti otkrivene u Microsoftovim proizvodima potencijalno omogućuju učinkovitiji zlonamjerni softver, ali zabilježen je značajan porast upotrebe Linuxa. Ovo povećanje zauzvrat je dovelo do toga da su programeri zlonamjernog softvera sve više okretali pogled prema Linuxu.

Drugi dio pitanja je zašto ciljati IoT uređaje? Razlozi su opet brojni, ali Linux je postao OS po izboru za IoT uređaje. Kako se ovi uređaji proizvode u sve većem broju, tako se proizvodi i broj uređaja s nekom verzijom Linuxa. Za programere je open-source priroda Linuxa atraktivna, štedi troškove i omogućuje potpunu transparentnost OS-a, što znači da programeri imaju pristup cijelom OS-u i mogu razviti bolje softverske proizvode koji će na njemu raditi. To je pak privuklo hakere koji sada mogu pronaći i iskoristiti nedostatke koji bi se prethodno previdjeli u najboljim vremenima.

Za Fancy Beara ovi razlozi čine ciljeve koji se više ne mogu zanemariti. To se kombinira sa znanjem da mnoge najveće svjetske organizacije i vladine agencije primjenjuju Linux u jednoj ili drugoj verziji, bilo putem IoT uređaja ili putem poslužitelja. The Equifax Kršenje je izvrstan primjer toga, iako ga nije nužno provodila državno sponzorirana grupa, pristup mreži je učinjen putem ranjivosti u Apache Struts popularnom okviru za web razvoj za Linux koji se obično nalazi na poslužiteljima. Istraživač sigurnosti Ian Folua, otkrio da je polovica tvrtki iz Fortune 100 koristila Apache Struts u jednom ili drugom obliku.

Za cyber špijunažu i druge aktivnosti povezane s Fancy Bearom, ignoriranje takvih ciljeva bilo bi glupo. Također se može sigurno pretpostaviti da bi mnoge vlade i njihove organizacije širom svijeta također koristile Apache Struts ili Linux kernele u svojoj infrastrukturi. Ovaj problem dodatno pojačavaju velike mreže koje koriste širok spektar softverskih paketa, što zauzvrat otežava realizaciju cijele mreže i krpanje onoga što treba popraviti. Kako bi se suprotstavio ovome, Ian Folua savjetuje da administratori počnu otkrivati ​​opseg paketa i alata otvorenog koda koji se koriste na mreži, a zatim ih prate za ažuriranja. Prosječni programer može koristiti pet novih alata otvorenog koda mjesečno, pa se njihovo praćenje može pokazati vitalnim za organizacijsku sigurnost.

ovu aplikaciju ne može aktivirati ugrađeni administrator