ايتنا - شناسایی بدافزار لینوکس که توسط هکرهای دولتی روسیه استفاده می‌شود

FBI و NSA در یک هشدار امنیتی مشترک جزئیاتی درباره گونه جدیدی از بدافزار لینوکس منتشر کردند که به گفته این دو آژانس در حملات دنیای‌واقعی توسط هکرهای نظامی روسیه توسعه داده شده و استقرار داده می‌شد.

به گزارش ایتنا و به نقل از ZDNet، این دو آژانس می‌گویند که هکرهای روس از یک بدافزار به نام Drovorub برای برای ایجاد بک‌درها (درهای پشتی) در داخل شبکه‌های هک شده استفاده می‌کردند.

بر مبنای شواهد گردآوری شده، مسئولان FBI و NSA مدعیند که این بدافزار کار APT28 (Fancy Bear, Sednit) است، که نام رمزیست که به هکرهایی داده شده برای واحد نظامی 26165 مرکز خدمات ویژه اصلی 85م (GTsSS) اداره اطلاعات اصلی کارکنان عمومی روسیه (GRU) کار می‌کنند.

این دو آژانس، از طریق هشدار مشترکشان، امیدوارند باعث تحریک آگاهی در بخشهای خصوصی و دولتی آمریکا شوند تا مدیران IT بتوانند به سرعت قواعد شناسایی و تمهیدات پیشگیرانه را مستقر نمایند.

از دیدگاه این دو آژانس، Drovorub یک سیستم چندبخشی است که با یک ایمپلنت، یک روتکیت ماژول کرنل، یک ابزار انتقال فایل، یک ماژول فوروارد کردن پورت، و یک سرور فرماندهی و کنترل (C2) توام است.

استیو گروبمن، مدیر ارشد فناوری مک‌آفی، گفت: «Drovorub یک "چاقوی سوئیسی" [ابزار چندکاره] از قابلیت‌هاست که برای هکر امکان اجرای کارکردهای متفاوت بسیاری را فراهم می‌آورد، از قبیل سرقت فایل‌ها و کنترل از راه دور کامپیوتر قربانی».

این مدیر اجرائی مک‌آفی افزود: «علاوه بر قابلیت‌های متعدد Drovorub، این بدافزار برای سرقت از طریق تکنولوژیهای "روتکیت" پیشرفته‌ای طراحی شده است که شناسایی را دشوار می‌سازد. این عنصر سرقت برای اداره‌کنندگان آن امکان کاشتن بدافزار در بسیاری از انواع مختلف اهداف را فراهم می‌آورد، و باعث می‌شود تا در هر زمان امکان انجام یک حمله وجود داشته باشد».

گروبمن گفت: «ایالات متحده محیطی مملو از اهداف برای حملات سایبری بالقوه است. اهداف مورد نظر Drovorub در این گزارش ذکر نشده‌اند، ولی می‌توانند از جاسوسی صنعتی تا مداخله در انتخابات را شامل شوند».

این آژانس، برای پیشگیری از حملات، توصیه کرده است که سازمان‌های آمریکایی همه سیستم‌های لینوکس خود را به ورژنی که دارای ورژن کرنل 3.7 به بعد باشد آپدیت کنند «تا بتوانند بهره‌برداری کاملی از اعمال امضای کرنل داشته باشد»، که یک ویژگی امنیتی است که می‌تواند مانع از نصب روتکیت Drovorub توسط هکرهای APT28 شود.

در گزارش 45 صفحه‌ای این آژانس‌ها همچنین به ریشه‌یابی نام این بدافزار پرداخته شده است:
نام آن از دو بخش دروو [дрово] (به معنای «هیزم» یا «چوب») و روب [руб] (به معنای «افتادن» یا «تکه تکه شدن») تشکیل یافته است.

آمریکا بدافزار جدید لینوکس که توسط هکرهای دولتی روسیه استفاده می‌شود را شناسایی کرد