O FBI e a Agência Nacional de Segurança (NSA) norte-americana emitiram alerta para um novo malware que está explorando sistemas Linux. Conhecido como Drovorub, o malware foi originalmente criado por militares da Rússia para espionagem cibernética.
De acordo com a NSA e o FBI, o malware possui uma variedade de recursos de espionagem, incluindo roubo de arquivos e execução remota de código, por isso é uma ameaça aos sistemas de segurança de agências no mundo todo que possuam clientes que utilizam sistemas Linux. O malware pode ser aproveitado por invasores para roubar dados confidenciais, fazer download e upload de arquivos, executar comandos arbitrários e encaminhar tráfego de rede.
A NSA e o FBI descrevem o malware como sofisticado e desenvolvido para realizar ataques furtivos, podendo se infiltrar em um sistema e permitir o controle remoto do PC da vítima e roubar dados. Isso é possível devido a um rootkit (software mal-intencionado que permite acesso privilegiado a um computador) difícil de rastrear. As duas agências de inteligência classificam o malware é uma ameaça à segurança nacional dos EUA.
“O Drovorub é um conjunto de ferramentas de malware para Linux que se instalada acoplado a um rootkit de módulo de kernel [módulo que contém código para estender o núcleo em execução], uma ferramenta de transferência de arquivos e encaminhamento de porta e um servidor de comando e controle (C2)”, de acordo com um relatório de 45 páginas sobre malware publicado na quinta-feira, 13.
“Quando implantado em uma máquina, o Drovorub (cliente) possibilita a comunicação direta com infraestrutura do servidor C2 controlada pelo espião; recursos de download e upload de arquivos; execução de comandos arbitrários como ‘root’; e encaminhamento de porta de tráfego de rede para outros hosts na rede são outras funcionalidades do malware”, completa o documento.
Tudo indica que o Drovorub é um malware que possui quatro componentes que permitem o acesso a um sistema. Em primeiro lugar, quando é instalado em uma máquina (novamente, ainda desconhecido por qual vetor), o malware pode se comunicar diretamente com um atacante remoto de comando e controle (C2).
Quando o contato é estabelecido, o operador do malware tem controle sobre a máquina. A NSA e o FBI dizem que Drovorub já foi usado, provavelmente pelo 85º Centro Principal de Serviços Especiais (GTsSS) do Estado-Maior Russo da Direção Principal de Inteligência (GRU).
Embora o malware seja preocupante, as autoridades afirmam que há atenuações disponíveis. Especificamente, o uso do SecureBoot no modo “completo” pode parar os módulos do kernel como os usados pelo Drovorub. “Isso impedirá que Drovorub seja capaz de se esconder em um sistema. As outras opções de detecção e mitigação, como as regras de Snort e Yara, terão utilidade limitada, já que se espera que sejam as primeiras coisas a serem alteradas em versões futuras do malware para evitar a detecção”, afirmam as agências.
Fonte: Ciso Advisor
