La Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Oficina Federal de Investigaciones (FBI) publicaron este mes un nuevo aviso de ciberseguridad con respecto al nuevo de Linux desarrollado e implementado en ataques reales de hackers rusos.

Y mencionan que los usuarios de Linux no deben creer que son inmunes, ya que las ambiciones y el alcance del grupo de hackeo ruso Fancy Bear son grandes, pues utiliza un conjunto de malware recientemente revelado para establecer una conexión de comando y control con el sistemas Linux infectados.

Fancy Bear, también conocido como Strontium o APT 28, es el notorio grupo de hackers sospechosos de estar patrocinados por el gobierno ruso.

Según el aviso, el nuevo malware llamado “Drovorub” esencialmente crea un back door que permite descargar archivos, ejecutar comandos arbitrarios como root y reenviar el tráfico de red a otros hosts en la red, dice la advertencia del FBI y la NSA. El aviso describe el malware como un “implante junto con un módulo de kernel rootkit”, enriquecido con componentes y módulos adicionales.

Los dos servicios presentaron a Drovorub como “una amenaza para los clientes de los sistemas de seguridad nacional, el Ministerio de Defensa y la base industrial de defensa que utilizan sistemas Linux”.

Los atacantes del estado nacional están desarrollando constantemente nuevas armas furtivas diseñadas para comprometer los sistemas operativos Linux, que ejecutan servidores, supercomputadoras y una gran cantidad de dispositivos IoT que se encuentran en hogares y oficinas. Sin embargo, a veces es fácil para los usuarios de Linux bajar la guardia, pensando que Windows sigue siendo el principal objetivo de los ciberdelincuentes.

Mantener un sistema actualizado y completamente protegido no es específico de los entornos de Windows”, dijo el equipo de inteligencia operativa ATR de McAfee en una publicación de blog de la empresa. “Los sistemas basados ​​en Linux prevalecen en muchas organizaciones y, a menudo, operan fuera de la línea de visión de los administradores de sistemas. En parte debido a esta baja visibilidad, los actores de amenazas ven la pila de Linux como un escondite ideal y un punto de partida para el movimiento lateral. Por tanto, es una prioridad mantener estos entornos actualizados y seguros.

Por lo tanto, para evitar sorpresas desagradables, el FBI y la NSA han aconsejado a los usuarios de Linux que actualicen al kernel de Linux 3.7 o posterior “para aprovechar al máximo la aplicación de firma del kernel. “, Y también habilita UEFI Secure Boot y” configura los sistemas para cargar solo módulos con una firma digital válida, lo que hace que sea más difícil para un actor introducir un módulo de kernel malicioso en el sistema ” , leemos.

Fancy Bear salió del lado europeo el año pasado, según Microsoft, que afirmó haber detectado varios ataques contra instituciones democráticas europeas.

¿Qué sabemos sobre el nuevo malware Drovorub?

Según información difundida por el FBI y la NSA, el malware está formado por cuatro componentes principales que realizan módulos específicos de la tarea, y la comunicación entre los componentes se realiza mediante un formato de mensaje basado en JSON, sobre el protocolo WebSocket que funciona a través de una conexión TCP.

El componente del servidor Drovorub reside en la infraestructura del atacante y habilita el concepto de comunicación C2 (comando y control), explotando una base de datos MySQL para almacenar los datos necesarios para el registro, autenticación y atribución de tareas.

El módulo Drovorub-client, por su parte, se ubica en terminales infectados y recibe comandos del módulo servidor. Permite la transferencia de archivos, el reenvío de puertos y las capacidades de shell remoto, y viene incluido con el módulo Drovorub-kernel, que ofrece “funcionalidad sigilosa basada en rootkit para ocultar el cliente y el módulo del kernel”. , explica la opinión.

Drovorub tiene un cuarto módulo, Drovorub-agent, que actúa de manera similar al Drovorub-client, y es “probable que se instale en hosts accesibles a través de Internet o en una infraestructura controlada por el actor de la amenaza”, indica el ‘aviso. Este módulo también puede recibir comandos del servidor, pero tiene capacidad de shell remoto o un rootkit del módulo del kernel. Tenga en cuenta que los módulos de agente y cliente no pueden comunicarse directamente, pero pueden interactuar indirectamente a través del módulo de servidor.

En referencia a las técnicas avanzadas de evasión de kits de herramientas, el FBI y la NSA señalan que el módulo del kernel de Drovorub “plantea un desafío para la detección a gran escala en el host, ya que oculta los artefactos de Drovorub [por ejemplo, archivos, directorios y procesos] herramientas de uso común para la respuesta en línea a gran escala”.

Para combatir el malware Drovorub, el FBI y la NSA sugieren medidas como sistemas de detección de intrusiones en la red, encuestas, uso de productos de seguridad, registro, respuesta en vivo, análisis de memoria e imagen de discos duros.

McAfee sugirió específicamente en su publicación de blog buscar rootkits en busca de puertas traseras y posibles exploits locales, cargar solo módulos conocidos o deshabilitar módulos por completo, usar el bloqueo del kernel de Linux, habilite la mejora de seguridad de SELinux y más.

Fuente: https://media.defense.gov