FBI和NSA曝光俄罗斯国家黑客使用的新Linux恶意软件Drovorub

美国联邦调查局(FBI)和美国国家安全局(NSA)今天发布了一份联合安全警报，其中包含一种新的Linux恶意软件的细节，这两家机构表示，这种软件是在俄罗斯军方黑客在现实世界的攻击中开发和部署的。

这两家机构表示，俄罗斯黑客使用名为Drovorub的恶意软件是为了在被黑客攻击的网络中植入后门。

根据这两个机构收集的证据，联邦调查局和美国国家安全局官员声称，该恶意软件是APT28(花哨熊，Sednit)所为，这是一个代号，指的是在俄罗斯总参谋长主要情报局第85个主要专门服务中心的军事团结26165下运作的黑客。

通过联合警报，这两个机构希望提高美国私营和公共部门的意识，以便IT管理员能够迅速部署检测规则和预防措施。

根据这两个机构的说法，Drovorub是一个多组件系统，包括一个植入器、一个内核模块rootkit、一个文件传输工具、一个端口转发模块和一个命令控制(C2)服务器。

今天，McAfee首席技术官史蒂夫·格罗布曼在一封电子邮件中告诉ZDNet记者，Drovorub是一把瑞士军刀，可以让攻击者执行许多不同的功能，比如窃取文件和远程控制受害者的电脑。

这位McAfee高管补充说，除了Drovorub；的多种功能外，它还利用了先进的rootkit技术，使检测变得困难，从而实现了隐形。隐形元素允许特工将恶意软件植入许多不同类型的目标，从而随时发动攻击。

美国是潜在网络攻击的目标丰富的环境。Grobman说，Drovorub的目标没有在报告中指出，但它们的范围可能从工业间谍活动到干预选举。

美国国家安全局和联邦调查局今天公布的APT28；Drovorub工具包的技术细节对全美的网络防御者来说非常有价值。

为防止攻击，该机构建议美国组织将所有Linux系统更新为运行内核3.7版或更高版本的版本，以便充分利用内核签名强制，这是一项安全功能，可防止APT28黑客安装Drovorub；的rootkit。

联合安全警报[PDF]包含运行易失性、探测文件隐藏行为、Snort规则和Yara规则的指导-所有这些都有助于部署适当的检测措施。

名称Drovorub是APT28用于恶意软件的名称，而不是由NSA或FBI分配的名称。

这个名字来源于Drovo[дрово]，翻译过来就是#34；柴火，或者木头；或者橡皮[руб]，翻译过来就是"；下降，或者"；砍。

FBI和NSA表示，在俄罗斯黑客在不同行动中重复使用服务器后，他们能够将Drovorub与APT28联系起来。例如，这两家机构声称，Drovorub连接到了一台C&；C服务器，该服务器过去曾用于2019年春季针对物联网设备的APT28操作。该IP地址之前已由Microsoft记录在案。