NSA ve FBI Rus Hackerların Drovorub ve Kötü Amaçlı Yazılımını Paylaştı
NSA ve FBI bugün, yeni bir tür Linux kötü amaçlı yazılımından bahseden ortak bir rapor yayınladı. Bu iki istihbarat kurumuna göre, devlet destekli Rus askeri bilgisayar korsanları bu yeni kötü amaçlı yazılımı kullanıyor. Bu bilgisayar korsanları, ihlal edilen ağların içine arka kapıları yerleştirmek için Drovorub kullandılar. Fancy Bear ve Sednit (APT28) bu saldırıların arkasında. NSA ve FBI, büyük özel ve kamu şirketlerini kötü amaçlı yazılımlardan haberdar etti. Güvende tutmak için koruyucu önlemler almaları konusunda bilgilendirdi. Kötü amaçlı yazılım bir implantla birlikte gelir ve çok bileşenli bir sistemdir. Bir dosya aktarım kiti, bir C2 sunucusu, bir çekirdek modülü aracı ve bir bağlantı noktası yönlendirme modülü ile birlikte gelir.
Drovorub İle Bu Yeni Kötü Amaçlı Yazılım Beraber Kullanılmakta
Kötü amaçlı yazılım işlevleriyle İsviçre çakısına benzer. Bilgisayar korsanları, Drovorub kullanarak hedefin sistemlerini kontrol etmek ve verileri ve kişisel dosyaları çalmak gibi birçok şeyi yapabilir. Bunun yanı sıra, Drovorub gizli modda çalışacak şekilde tasarlanmıştır. Tespit edilmemek için rootkit teknolojilerini kullanır. Bilgisayar korsanlarının, herhangi bir anda saldırıya izin veren farklı yer ve sistemlere kötü amaçlı yazılımlar yerleştirmesine olanak tanır. Siber saldırılar konusunda, ABD, gelişmiş teknoloji ortamı nedeniyle her zaman siber suçlular için birincil hedef olmuştur.
Bu saldırının arkasındaki sebeple ilgili hiçbir somut kanıt yok. Ancak uzmanlar, amacın casusluk veya yaklaşan cumhurbaşkanlığı seçimlerini tahrif etmek olabileceğine inanıyor. FBI ve NSA’nın ortak raporu, “Rus Genelkurmay Ana İstihbarat Müdürlüğü (GRU) 85. Ana Özel Hizmet Merkezi (GTsSS), 26165 askeri birimi, Linux® sistemleri için önceden açıklanmamış kötü amaçlı yazılımı Drovorub’un bir parçası olarak dağıtıyor. siber casusluk operasyonları. GTsSS kötü niyetli siber etkinlik, daha önce özel sektör tarafından Fancy Bear, APT28, Strontium ve diğer çeşitli tanımlayıcılar kullanılarak ilişkilendiriliyordu. “
Güvende kalmak için ajans, ABD şirketlerinin Linux sistemlerini en son güncelleme kernel sürüm 3.7’ye güncellemelerini tavsiye etti. “Bir siparişin Drovorub’un gizlenmesine ve kalıcılığına maruz kalmasını önlemek için, sistem yöneticilerinin çekirdek imzalama uygulamasından tam olarak yararlanmak için Linux Kernel 3.7 veya sonraki bir sürüme yükseltmeleri gerekir. Ek olarak, sistem sahiplerinin sistemleri yalnızca geçerli bir dijital modülleri yükleyecek şekilde yapılandırmaları önerilir. ABD istihbarat teşkilatlarının raporuna göre imza, bir aktörün sisteme kötü amaçlı bir çekirdek modülü eklemesini zorlaştırıyor “diyor.
Ayrıca yetkililer “Drovorub, Linux sistemlerini kullanan Ulusal Güvenlik Sistemleri, Savunma Bakanlığı ve Savunma Sanayi Üssü müşterileri için bir tehdit oluşturuyor. Ajanslar, ağ savunucuları ve sistem yöneticileri , riskleri azaltmak için danışma belgesinde algılama stratejileri, azaltma teknikleri ve yapılandırma önerileri bulabilirler ”diye de uyardılar.
Drovorub hakkındaki teknik bilgilere de bu PDF dosyasından erişebilirsiniz. Dosya İngilizcedir.