美国国家安全局和联邦调查局表示,俄罗斯国家支持的黑客组织Fancy Bear正在使用此前未披露的名为Drovorub的Linux恶意软件进行网络间谍活动

2020-08-14 00:57:45

美国国家安全局和联邦调查局联合曝光了他们所说的俄罗斯军方黑客在网络间谍行动中使用的恶意软件。

周四,美国国家安全局和联邦调查局在一份详细的报告中表示,为俄罗斯总参谋长主要情报局第85个主要特勤中心(军事单位26165)工作的黑客使用这种俄罗斯人自己称之为“Drovorub”的恶意软件攻击linux系统。

这些黑客也被称为APT28或Fancy Bear,据称在2016年侵入了民主党全国委员会(DNC),经常以国防、政府和航空航天实体为目标。俄罗斯军事机构也被称为GRU。

虽然警报没有包括Drovorub受害者的具体细节,但美国官员确实表示,他们星期四发布警报是为了提高人们对国家支持的俄罗斯黑客攻击和国防部门可能存在的漏洞的认识。这一消息是在美国选民将举行总统选举的前几个月披露的。

美国国家安全局和联邦调查局在报告中表示:“网络安全咨询中的信息正在公开披露,以帮助国家安全系统所有者和公众对抗GRU的能力。GRU是一个继续威胁美国和美国盟友的组织,作为其流氓行为的一部分,包括他们对2016年美国总统选举的干预。”

美国情报界评估称,多个外国政府可能“寻求损害我们的选举基础设施”。但目前尚不清楚俄罗斯黑客是否在使用Drovorub恶意软件进行任何与2020年总统选举相关的持续干预努力。

美国国家安全局和联邦调查局敦促包括美国国防部在内的国家安全人员对Drovorub袭击保持警惕。

声明说:“该恶意软件是一种威胁,因为Linux系统在整个国家安全系统、国防部和国防工业基地都被广泛使用。”“所有利益相关者都应酌情采取行动。”

近一年前,美国国家安全局(NSA)成立了一个新的网络安全管理局,旨在与公众分享更多敌方威胁情报。最近几周,NSA努力揭露俄罗斯的一系列行动,包括俄罗斯黑客针对冠状病毒研究的努力。

根据美国国家安全局和联邦调查局的说法,使用Drovorub的袭击可能与俄罗斯军方之前针对联网设备的努力有关。例如,美国国家安全局(NSA)和联邦调查局(FBI)表示,微软安全研究人员去年发现的针对办公室打印机或VOIP电话等设备的APT28攻击,与一个IP地址有关,该IP地址也被用来访问Drovorub命令和控制IP地址。

据微软称,在这类攻击中,黑客似乎有兴趣利用所谓的物联网设备来访问更广泛的网络、其他不安全的账户和敏感数据。

美国国家安全局和联邦调查局的联合发布还提醒俄罗斯政府,美国官员无法追踪他们的一些工作。目前与五角大楼攻击性网络武器网络司令部合作的第780军事情报旅在推特上发布了有关恶意软件的信息,并标记为国家资助的媒体RT,为他们标记这一消息。

NSA和FBI表示,Drovorub恶意软件由几个组件组成,包括植入物、内核模块Rootlet、文件传输工具以及攻击者控制的命令和控制服务器。

美国国家安全局和FBI表示:“当部署在受害者机器上时,Drovorub植入物(客户端)能够与参与者控制的C2基础设施直接通信;文件下载和上传功能;以‘root’身份执行任意命令;以及将网络流量端口转发到网络上的其他主机,”NSA和FBI表示。