NSA e FBI alertaram sobre malware que assume controle de máquina Linux

Conhecido como Drovorub, o malware foi originalmente criado por militares da Rússia para espionagem cibernética, afirmam agências
Da Redação
16/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O FBI e a Agência Nacional de Segurança (NSA) norte-americana emitiram alerta para um novo malware que está explorando sistemas Linux. Conhecido como Drovorub, o malware foi originalmente criado por militares da Rússia para espionagem cibernética.

De acordo com a NSA e o FBI, o malware possui uma variedade de recursos de espionagem, incluindo roubo de arquivos e execução remota de código, por isso é uma ameaça aos sistemas de segurança de agências no mundo todo que possuam clientes que utilizam sistemas Linux. O malware pode ser aproveitado por invasores para roubar dados confidenciais, fazer download e upload de arquivos, executar comandos arbitrários e encaminhar tráfego de rede.

A NSA e o FBI descrevem o malware como sofisticado e desenvolvido para realizar ataques furtivos, podendo se infiltrar em um sistema e permitir o controle remoto do PC da vítima e roubar dados. Isso é possível devido a um rootkit (software mal-intencionado que permite acesso privilegiado a um computador) difícil de rastrear. As duas agências de inteligência classificam o malware é uma ameaça à segurança nacional dos EUA.

“O Drovorub é um conjunto de ferramentas de malware para Linux que se instalada acoplado a um rootkit de módulo de kernel [módulo que contém código para estender o núcleo em execução], uma ferramenta de transferência de arquivos e encaminhamento de porta e um servidor de comando e controle (C2)”, de acordo com um relatório de 45 páginas sobre malware publicado na quinta-feira, 13.

Veja isso
Falha na inicialização do GRUB2 no Linux põe em risco PCs e servidores
Windows e Linux são alvos de nova variante do ransomware Tycoon

“Quando implantado em uma máquina, o Drovorub (cliente) possibilita a comunicação direta com infraestrutura do servidor C2 controlada pelo espião; recursos de download e upload de arquivos; execução de comandos arbitrários como ‘root’; e encaminhamento de porta de tráfego de rede para outros hosts na rede são outras funcionalidades do malware”, completa o documento.

Informação pouco clara

O que que chama atenção no extenso relatório de 45 páginas é que a NSA e o FBI não dizem como o malware chega ao PC. Além disso, não há informações sobre há quanto tempo o vírus existe ou se os ataques foram bem-sucedidos.

Tudo indica que o Drovorub é um malware que possui quatro componentes que permitem o acesso a um sistema. Em primeiro lugar, quando é instalado em uma máquina (novamente, ainda desconhecido por qual vetor), o malware pode se comunicar diretamente com um atacante remoto de comando e controle (C2).

Quando o contato é estabelecido, o operador do malware tem controle sobre a máquina. A NSA e o FBI dizem que Drovorub já foi usado, provavelmente pelo 85º Centro Principal de Serviços Especiais (GTsSS) do Estado-Maior Russo da Direção Principal de Inteligência (GRU).

Embora o malware seja preocupante, as autoridades afirmam que há atenuações disponíveis. Especificamente, o uso do SecureBoot no modo “completo” pode parar os módulos do kernel como os usados ​​pelo Drovorub. “Isso impedirá que Drovorub seja capaz de se esconder em um sistema. As outras opções de detecção e mitigação, como as regras de Snort e Yara, terão utilidade limitada, já que se espera que sejam as primeiras coisas a serem alteradas em versões futuras do malware para evitar a detecção”, afirmam as agências.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório