Gli utenti Linux non dovrebbero presumere di essere al sicuro dalle ambizioni e dalla portata del noto gruppo di hacker russo Fancy Bear , che ha utilizzato un set di strumenti malware recentemente divulgato per stabilire una connessione di comando e controllo con i sistemi Linux infetti.
Chiamato Drovorub, il set di strumenti crea essenzialmente una backdoor che consente il download e il caricamento di file, l'esecuzione di comandi arbitrari come root e il port forwarding del traffico di rete a host aggiuntivi sulla rete, l'FBI e la National Security Agency hanno avvertito la scorsa settimana in una sicurezza informatica consulenza , comunicato stampa e scheda informativa . L'advisory descrive il malware come un "impianto accoppiato a un rootkit del modulo del kernel", potenziato con componenti e moduli aggiuntivi.
Non dovrebbe sorprendere che gli aggressori dello stato-nazione stiano sviluppando nuove armi furtive progettate per compromettere i sistemi operativi Linux, che eseguono server, supercomputer e litania di dispositivi IoT trovati a casa e sul posto di lavoro. Tuttavia, a volte è facile per gli utenti Linux abbassare la guardia, pensando che Windows rimanga l'obiettivo principale.
"Mantenere un sistema aggiornato e completamente protetto non è specifico per gli ambienti basati su Windows", ha affermato il team di ATR Operational Intelligence di McAfee in un post sul blog aziendale. “I sistemi basati su Linux sono diffusi all'interno di molte organizzazioni aziendali, spesso operando al di fuori della visibilità diretta degli amministratori di sistema. In parte a causa di questa scarsa visibilità, gli autori delle minacce adottano lo Stack Linux come nascondiglio ideale e punto di lancio per il movimento laterale. Ciò rende questi ambienti aggiornati e protetti una priorità assoluta ".
Con questo in mente, l'FBI e la NSA hanno consigliato agli utenti Linux di eseguire l'aggiornamento a Linux Kernel 3.7 o successivo "per sfruttare appieno l'applicazione della firma del kernel" e anche per l'avvio protetto UEFI e "configurare i sistemi per caricare solo i moduli con una firma digitale valida, rendendo più difficile per un attore introdurre un modulo kernel dannoso nel sistema ".
La versione più recente di Linux da rilasciare è la 5.8.1.
"È importante notare che questo kernel Linux – 3.7 – è stato ritirato nel marzo 2013. Se stai mantenendo aggiornate le tue distribuzioni Linux, dovresti risparmiare qualsiasi problema", ha affermato Rosa Smothers, vicepresidente senior delle operazioni informatiche di KnowBe4. “La mia preoccupazione principale sono tutti i sistemi embedded che utilizzano questi vecchi kernel; Sospetto che ce ne siano molti là fuori che rimangono dispersi, quindi vulnerabili ". Esempi di tali sistemi integrati potrebbero essere router o tecnologia per la casa intelligente.
“Se già patchate e proteggi i tuoi sistemi, questo non dovrebbe essere altro che un annuncio per tenere gli occhi aperti. Se non lo fai, è tempo di cambiare le tue pratiche ", ha affermato Robert Meyers, architetto di soluzioni di canale presso One Identity.
Ma significa che devi motivare e mobilitare gli utenti Linux per intraprendere un'azione preventiva.
“Uno dei maggiori problemi nella comunità Linux è che le persone tendono a credere all'hype che Linux sia sicuro. Ciò tende a lasciare le persone che non aggiornano Linux tutte le volte che dovrebbero, o non completano le installazioni degli aggiornamenti del kernel quando dovrebbero ", ha continuato Meyers. Ma “Non c'è magia che protegga alcun sistema operativo. Qualcuno cercherà di rompere ognuno di loro. Ogni volta che sono disponibili aggiornamenti, gli aggiornamenti dovrebbero essere completati, utilizzando la metodologia IT standard ".
"L'aspetto più importante del rapporto è che Fancy Bear ha ancora assi nella manica con più strumenti e capacità che sono ancora in fase di scoperta", ha affermato Adam Meyers, vicepresidente senior dell'intelligence di CrowdStrike. “Un altro aspetto fondamentale è che molte organizzazioni non hanno investito in strumenti di sicurezza simili per Linux come hanno fatto per altre piattaforme utente. Devono rendersi conto che Linux è vulnerabile al malware quanto qualsiasi altra piattaforma ".
Secondo l'FBI e la NSA, Drovorub rappresenta "una minaccia per i clienti dei sistemi di sicurezza nazionale, del Dipartimento della difesa e della base industriale della difesa che utilizzano sistemi Linux".
Il malware è composto da quattro componenti principali che eseguono moduli specifici per attività e la comunicazione tra i componenti avviene tramite un formato di messaggio basato su JSON, sul protocollo WebSocket che opera tramite una connessione TCP.
Il componente server Drovorub risiede sull'infrastruttura dell'autore dell'attacco e abilita la comunicazione C2, sfruttando un database MySQL per archiviare i dati necessari per la registrazione, l'autenticazione e il compito. Il modulo Drovorub-client, nel frattempo, si trova su endpoint infetti e riceve comandi dal modulo server. Abilita il trasferimento di file, il port forwarding e le funzionalità della shell remota ed è fornito in bundle con il modulo Drovorub-kernel, che garantisce "funzionalità stealth basate su rootkit per nascondere il client e il modulo del kernel", spiega l'avviso.
Un quarto modulo, Drovorub-agent, agisce in modo simile al client Drovorub ed è "probabile che venga installato su host accessibili da Internet o infrastrutture controllate dagli attori", afferma l'avviso. Anch'esso può ricevere comandi dal server, ma esiste una capacità di shell remota o un rootkit del modulo del kernel. I moduli agente e client non possono comunicare direttamente, ma possono interagire indirettamente tramite il modulo server.
Facendo riferimento alle tecniche di evasione avanzate del toolkit, l'FBI e l'NSA notano che il modulo Drovorub-kernel "rappresenta una sfida per il rilevamento su larga scala sull'host perché nasconde gli artefatti di Drovorub [ad esempio file, directory e processi] dagli strumenti comunemente usati per live -risposta su larga scala. "
Per combattere questa minaccia, l'avviso suggerisce misure quali sistemi di rilevamento delle intrusioni di rete, sondaggi, esecuzione di prodotti di sicurezza, registrazione, risposta in tempo reale, analisi della memoria e analisi dell'immagine del disco multimediale.
McAfee ha specificamente suggerito la scansione per i rootkit, il caricamento solo dei moduli noti o la disabilitazione completa dei moduli, utilizzando il blocco del kernel Linux, abilitando il miglioramento della sicurezza di SELinux e altro ancora.
Mick Baccio, consulente per la sicurezza di Splunk, ha teorizzato in un post sul blog perché la NSA e l'FBI abbiano deciso che era il momento di fare luce sulla minaccia di Drovorub e sulla sua affiliazione con Fancy Bear (alias APT 28 e Sofacy), che è stata legata alla Russia Agenzia di intelligence GRU. "La divulgazione di Drovorub è una battuta d'arresto dannosa perché il riorganizzazione non è né rapido né facile, anche per un'organizzazione di intelligence ben finanziata come il GRU", ha detto. "Questo avviso è l'equivalente digitale di un colpo di prua. "Possiamo vederti e ti stiamo guardando." "
Il mese scorso, i ricercatori di Intezer hanno rivelato la scoperta di un attacco a container Docker che distribuisce una backdoor dannosa "completamente non rilevabile" per ambienti cloud basati su Linux. Poiché le organizzazioni di utenti spostano la maggior parte della loro infrastruttura aziendale fuori sede, i criminali informatici sono sempre più motivati a prendere di mira gli ambienti cloud basati su Linux.
Il post US esorta gli utenti Linux a proteggere i kernel dalla nuova minaccia malware russa apparsa per la prima volta su SC Media .