L’ours fancy russe cible les environnements Linux avec des logiciels malveillants Drovorub

La National Security Agency (NSA) des États-Unis et le Federal Bureau of Investigation (FBI) ont émis un avis conjoint de cybersécurité mettant en garde contre une nouvelle souche de logiciels malveillants – baptisée Drovorub – qui est déployée contre les environnements Linux par des groupes liés aux services de renseignement du gouvernement russe.

L’unité 26165 du 85e Centre principal des services spéciaux de la Direction du renseignement de l’état-major général russe (GRU), qui porte également le nom de Fancy Bear, Strontium et APT28, utilise Drovorub – qui se compose d’un rootkit de module de noyau, d’un outil de transfert de fichiers et de transfert de ports, et d’un serveur de commandement et de contrôle (C2) – pour établir des communications directes entre les environnements cibles et son infrastructure C2. , télécharger et télécharger des fichiers, exécuter des commandes arbitraires et transférer le trafic réseau vers d’autres hôtes du réseau.

« Ce conseil en cybersécurité représente une dimension importante de notre mission de cybersécurité, la publication d’une analyse technique approfondie sur des menaces spécifiques », a déclaré Anne Neuberger, directrice de la cybersécurité de la NSA.

« En déconstruisant cette capacité et en fournissant des attributions, des analyses et des mesures d’atténuation, nous espérons donner à nos clients, partenaires et alliés les moyens d’agir. Notre partenariat profond avec le FBI se reflète dans la publication de ces directives complètes ensemble.

Matt Gorham, directeur adjoint du FBI, a déclaré : « Pour le FBI, l’une de nos priorités dans le cyberespace n’est pas seulement d’imposer des risques et des conséquences aux cyber-adversaires, mais aussi d’autonomiser nos partenaires privés, gouvernementaux et internationaux grâce à un partage rapide et proactif de l’information.

« Ce conseil conjoint avec nos partenaires de la NSA est un exemple remarquable de ce type de partage. Nous restons déterminés à partager des informations qui aident les entreprises et le public à se protéger contre les cyberentacteurs malveillants.

Les deux agences ont déclaré Drovorub représente actuellement une menace pour tous les systèmes de sécurité nationale et de défense, ou les entrepreneurs travaillant dans le complexe militaro-industriel, qui utilisent actuellement des systèmes Linux.

Steve Grobman, CTO chez McAfee, a décrit Drovorub – qui se traduit le plus directement par « bûcheron » – comme contenant un couteau suisse-armée de capacités permettant à un attaquant d’effectuer diverses actions dans les systèmes de sa cible.

« En plus des multiples capacités de Drovorub, il est conçu pour la furtivité en utilisant des technologies rootkit avancées qui rendent la détection difficile », a déclaré M. Grobman. « ‘élément de furtivité permet aux agents d’implanter le malware dans de nombreux types de cibles, permettant une attaque à tout moment. Les attaquants peuvent lancer des campagnes de cyberguerre pour infliger des dégâts ou des perturbations importants et le faire sans proximité géographique de leur cible.

« Les États-Unis sont un environnement riche en cibles pour d’éventuelles cyberattaques. Les objectifs de Drovorub n’ont pas été énoncés dans le rapport, mais ils peuvent aller de l’espionnage industriel à l’ingérence électorale.

Les agences ont déclaré que bien qu’il existe un certain nombre de techniques de détection qui peuvent être utilisées efficacement pour identifier Drovorub (détaillée dans son intégralité dans son avis, avec les règles de Snort et Yara), son module de noyau pose un défi à la détection à grande échelle parce qu’il cache ses artefacts à partir d’outils largement utilisés pour la réponse en direct à l’échelle.

Pour empêcher les systèmes d’être compromis par l’obscurcissement et la persistance de Drovorub, les administrateurs sont invités à mettre à jour sur Linux Kernel 3.7 ou version ultérieure pour tirer parti de l’application de la signature du noyau, et configurer les systèmes pour charger uniquement les modules avec des signatures numériques valides.