Confira !!
As agências de segurança nacional FBI e NSA, enviaram um relatório conjunto onde eles avisam que Hackers russos estão usando uma peça de um malware Linux ainda desconhecido para conseguir fazer uma infiltração furtiva em redes confidenciais, roubar as informações confidenciais e também executar códigos maliciosos.
O relatrório é bastante incomum devido a profundidade dos detalhes técnicos de uma agência governamental, onde funcionários disseram que o malware Drovorub é um kit de ferramentas completo que não tinha sido detectado até recentemente. Esse malware se conecta aos servidores de comando e de controle sendo operados por um grupo de hackers que trabalha para a GRU, a agência de inteligência militar da Rússia que está ligada a mais de uma década em campanhas descaradas e avançadas, muitas das quais
infligiram sérios danos à segurança nacional.
“As informações neste Conselho de Segurança Cibernética estão sendo divulgadas publicamente para ajudar os proprietários do Sistema de Segurança Nacional e o público a combater as capacidades do GRU, uma organização que continua a ameaçar os Estados Unidos e seus aliados como parte de seu comportamento desonesto, incluindo a sua interferência em as Eleições Presidenciais dos EUA de 2016, conforme descrito na Avaliação da Comunidade de Inteligência de 2017 , Avaliação das Atividades Russas e Intervenções nas Recentes Eleições dos EUA (Escritório do Diretor de Inteligência Nacional, 2017) ”, escreveram os funcionários das agências.
Drovorub: Furtivo,Poderoso e com muitos recursos
O kit de ferramentas Drovorub possui quatro componentes principais que são: um cliente que infecta dispositivos Linux; um módulo de kernel que usa táticas de rootkit para ganhar persistência e ocultar sua presença de sistemas operacionais e defesas de segurança; um servidor executado em uma infraestrutura operada por um invasor para controlar máquinas infectadas e receber dados roubados; e um agente que usa servidores comprometidos ou máquinas de controle do invasor para atuar como intermediário entre as máquinas e servidores infectados.
O rootkit, para os que não conhecem, é um tipo de malware que se infiltra profundamente no kernel do sistema operacional de uma forma que pode impedir a interface de registrar os serviços maliciosos e os processos gerados por eles. Os rootkits também usam uma série de outras técnicas para deixar as infecções invisíveis nos escaneamentos normais de antivirus . O Drovorub também camufla o tráfego de dados que entra e sai em uma rede infectada.
Assassinando o Driver Slayer
Segundo as autoridades do governo, o Drovorub ganhou o seu nome devido à sequência de caracteres que são deixados para trás acidentalmente no código, no caso a sequência de caractreres ´forma a palavra "Drovo", que em tradução significa "madeira" ou “lenha”, enquanto “rub” se traduz em “cair” ou “cortar” colocando essas palavras juntas termos "Drovorub" que pode ser traduzida como "lenhador" ou "rachar madeira".
O pesquisador de segurança Dmitri Alperovitch, passou a maior parte de sua carreira investigando campanhas de hacking na Rússia - incluindo aquela que teve como alvo o DNC em 2016 - ofereceu uma interpretação diferente.
“Resp: nome do malware 'Drovorub', que como @NSACyber indica se traduz diretamente como 'lenhador'”, Alperovitch, co-fundador e ex-CTO da empresa de segurança CrowdStrike, escreveu no Twitter . “No entanto, mais importante, 'Drova' é uma gíria em russo para 'drivers', como nos drivers do kernel. Portanto, o nome provavelmente foi escolhido para significar "matador de driver (de segurança)."
Re: malware name “Drovorub”, which as @NSACyber points out translates directly as “woodcutter”— Dmitri Alperovitch (@DAlperovitch) August 13, 2020
However, more importantly, “Drova” is slang in Russian for “drivers”, as in kernel drivers. So the name likely was chosen to mean “(security) driver slayer" https://t.co/yToULwp3xw
Atendendo aos Interesses Russos em uma Década
O Drovorub adiciona um cache já abundante de ferramentas e táticas que são préviamente conhecidas e usadas pelo Apt 28, que é o grupo hacker militar russo que também é conhecido como: Fancy Bear, Strontium, Pawn Storm, Sofacy, Sednit e Tsar Team. Os hackers desse grupo atendem aos interesses do governo russo e os alvos são países e organizações que o Kremlin considera como adversários.
A Microsoft, em agosto relatou que o grupo estava hackeando impressoras e decodificadores de video e outros dispositivos de IoT (Internet das Coisas) usando-os como uma ponte de comando para penetrar nas redes de computadores às quais estavam conectados.
No ano de 2018, os pesquisadores do Talos Group da Cisco, descobriram a infecção que foi feita pelo Apt 28 em mais de 500.000 roteadores de consumidores em 54 paises que poderiam ser usados para outros propósitos.
Outras campanhas que podem ser atribuídas ao Apt 28:
- A intrusão no Comitê Nacional Democrata antes da eleição de 2016 (junto com um grupo russo diferente, conhecido como Cozy Bear) e a distribuição de documentos prejudiciais para influenciar a opinião do eleitor
- Os hacks de 2016 da Agência Mundial Antidopagem
- O Bundestag alemão
- Estação de TV TV5Monde da França
O documento não fez a identificação de nenhuma das organizações que são alvos do Drovorub como também não forneceu nenhuma das descrições dos alvos e as suas localizações geográficas. E tampouco foi dito há quanto tempo o malware está em execução, o numero de infecções que ocorreram e como os hackers estão infectando os servidores.
Segundo os funcionários da agência, uma defesa chave contra o Drovorub é garantir que todas as atualizações de segurança sejam instaladas. Foi também recomendado pelo relatório que, no mínimo, os servidores executem o kernel Linux versão 3.7 ou posterior para que as organizações possam usar proteções de assinatura de código aprimoradas, que usam certificados criptográficos para garantir que um aplicativo, driver ou módulo venha de uma fonte conhecida e confiável e não foi alterado por ninguém.
“Além disso, os proprietários do sistema são aconselhados a configurar os sistemas para carregar apenas módulos com uma assinatura digital válida, tornando mais difícil para um ator introduzir um módulo de kernel malicioso no sistema”, afirmou o comunicado.Também incluem-se as regras que os administradores de rede podem conectar aos sistemas de detecção de intrusão Yara e Snort para capturar e interromper o tráfego de rede que passa de ou para servidores de controle ou para sinalizar arquivos Drovorub ofuscados ou processos já em execução em um servidor.
O documento tem 45 páginas contendo uma alto nível de detalhe técnico e uma análise informada que está também no mesmo nível de algumas das melhores empresas privadas .
A assessoria foi a primeira a fazer a divulgação da existência desse malware novo e avançado.
Esse relatório é de consulta obrigatória para os administradores de redes.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário