Le FBI et la NSA exposent un malware Linux utilisé par le renseignement russe

Le FBI et la NSA ont publié aujourd’hui une alerte de sécurité commune contenant des détails sur une nouvelle souche de logiciel malveillant Linux qui, selon les deux agences, a été développé et déployé lors d’attaques réelles par les militaires russes.

Les deux agences affirment que les pirates russes ont utilisé le malware, nommé Drovorub, pour installer des portes dérobées à l’intérieur des réseaux piratés.

Sur la base des preuves que les deux agences ont recueillies, les responsables du FBI et de la NSA affirment que le malware est l’œuvre du groupe APT28 (Fancy Bear, Sednit), un nom de code donné aux pirates informatiques opérant au sein de l’unité militaire 26165 de la Direction principale du renseignement (GRU) de l’état-major général russe, 85e centre principal de services spéciaux (GTsSS).

Grâce à leur alerte commune, les deux agences espèrent sensibiliser les secteurs privé et public américains afin que les administrateurs informatiques puissent rapidement déployer des règles de détection et des mesures de prévention.

Drovorub – Le couteau suisse d’APT28 pour le piratage de Linux

Selon les deux agences, Drovorub est un système à plusieurs composants qui comprend un implant, un module de noyau, un outil de transfert de fichiers, un module de transfert de port et un serveur de commande et de contrôle (C2).

Drovorub est un “couteau suisse” qui permet à l’attaquant d’exécuter de nombreuses fonctions différentes, telles que le vol de fichiers et le contrôle à distance de l’ordinateur de la victime”, a déclaré Steve Grobman, directeur technique de McAfee, dans un courriel adressé à ZDNet aujourd’hui.

En plus de ces multiples capacités, le malware est conçu pour la furtivité en utilisant des technologies avancées de rootkit ” qui rendent sa détection difficile”, a ajouté le dirigeant de McAfee. “L’élément de furtivité permet aux agents d’implanter le malware dans différents types de cibles, permettant une attaque à tout moment”.

Image : FBI et NSA

“Les États-Unis sont un environnement riche en cibles pour d’éventuelles cyberattaques. Les objectifs de Drovorub ne sont pas mentionnés dans le rapport, mais ils peuvent aller de l’espionnage industriel à l’ingérence électorale”, a déclaré M. Grobman.

“Les détails techniques publiés aujourd’hui par la NSA et le FBI sur la boîte à outils Drovorub sont très précieux pour les cyberdéfenseurs à travers les États-Unis”.

Pour prévenir les attaques, l’agence recommande aux organisations américaines de mettre à jour tout système Linux vers une version fonctionnant avec un noyau de la version 3.7 ou plus récente, “afin de profiter pleinement des outils de vérification de la signature du noyau”, une caractéristique de sécurité qui empêcherait les pirates APT28 d’installer le rootkit de Drovorub.

L’alerte de sécurité commune [PDF] contient des conseils pour exécuter Volatility, sonder les techniques de dissimulation de fichiers, les règles Snort et les règles Yara pour déployer des mesures de détection appropriées.

Quelques détails intéressants que nous avons recueillis dans le document :

• Le nom Drovorub est le nom donné par APT28 pour le malware, et non celui attribué par la NSA ou le FBI.
• Le nom vient de drovo [дрово], qui se traduit par “bois de chauffage”, ou “bois” et “frottement” [руб], qui se traduit par “abattre”, ou “hacher”.
• Le FBI et la NSA ont déclaré avoir pu lier Drovorub à APT28 après que les hackers russes aient réutilisé leurs serveurs lors de différentes opérations. Par exemple, les deux agences affirment que Drovorub s’est connecté à un serveur C&C qui avait été utilisé dans le passé pour les opérations d’APT28 visant les dispositifs IoT au printemps 2019 (https://www.zdnet.com/article/microsoft-russian-state-hackers-are-using-iot-devices-to-breach-enterprise-networks/). L’adresse IP avait été précédemment identifiée par Microsoft.

Source : “ZDNet.com”