El FBI y la Agencia de Seguridad Nacional de EE.UU (NSA) hicieron público un reporte sobre el malware utilizado por hackers vinculados a Rusia. En un documento detallado, las dos corporaciones mencionan el funcionamiento del malware Drovorub que utiliza el grupo APT28 (Fancy Bear) para hackear oficinas gubernamentales, partidos políticos, y departamentos de defensa del mundo.
Drovorub, que se traduce "leñador", fue desarrollado por el 85 Centro de Servicios Especiales (GTsSS) de la Dirección General de Inteligencia del Estado Mayor Ruso. El malware ataca sistemas basados en Linux que no están actualizados con el fin de vulnerarlos y robar información.
De acuerdo con la descripción por parte del departamento de ciberseguridad estadounidense:
Drovorub es un conjunto de herramientas de malware de Linux que consta de un implante junto con un rootkit del módulo del kernel, una herramienta de transferencia de archivos y reenvío de puertos y un servidor de comando y control (C2). Cuando se implementa en una máquina víctima, el implante Drovorub (cliente) proporciona la capacidad de comunicaciones directas con la infraestructura C2 controlada por el actor; capacidades de carga y descarga de archivos; ejecución de comandos arbitrarios como "root"; y reenvío de puertos del tráfico de la red a otros hosts en la red.
Cuando infecta los sistemas, el rootkit del kernel utiliza múltiples medios para ocultarse y se mantiene incluso al reiniciar, a menos que el usuario habilite el arranque seguro UEFI en modo completo. El malware consiste en cuatro componentes ejecutables: agente, cliente, servidor y módulo de kernel.
El malware Drovorub es una amenaza para los sistemas basados en Linux
Según el comunicado de la NSA, el malware representa una amenaza porque Linux se utiliza como sistema en el Departamento de Defensa, los Sistemas de Seguridad Nacional y la Base Industrial de Defensa, este último encargado de la producción de equipo y armamento que utiliza el ejército de EE.UU.
El documento publicado por la NSA y el FBI incluye un desglose técnico del funcionamiento del malware y las medidas de mitigación. Para evitar una posible infección, el administrador de sistemas tiene que actualizar el kernel de Linux a la versión 3.7. También es necesario configurar el sistema para la carga exclusiva de módulos que cuenten con una firma digital válida, que se complementa con el Arranque Seguro por UEFI.
Las autoridades de Estados Unidos informan también que los ataques con Drovorub estarían relacionados a un intento de por hackear dispositivos IoT con el fin de obtener acceso a redes más amplias.
Hace unas semanas Rusia fue acusada de intentar robar información sobre la vacuna para la COVID-19. Hackers relacionados al Servicio de Inteligencia Exterior usaron técnicas de suplantación de identidad con el fin de robar información de las organizaciones de salud.