美国国家安全局和联邦调查局警告Linux恶意软件用于间谍攻击

美国政府警告针对Linux系统的名为Drovorub的新恶意软件。它还声称，该恶意软件是为俄罗斯一支军事单位开发的，目的是执行网络间谍行动。

这种名为Drovorub的恶意软件具有多种间谍功能，包括窃取文件和远程控制受害者的计算机。该恶意软件非常复杂，专为隐形而设计，利用了先进的“rootkit”技术，使检测变得困难。根据美国国家安全局(NSA)和联邦调查局(FBI)周四的咨询，该恶意软件尤其对国防部和国防工业基地客户等使用Linux系统的国家安全系统构成威胁。

根据FBI和NSA周四发布的一份45页的恶意软件深入分析报告，“Drovorub是一个Linux恶意软件工具集，由一个植入物和一个内核模块Rootkit组成，一个文件传输和端口转发工具，以及一个命令和控制(C2)服务器。”在受攻击的计算机上部署后，Drovorub植入物(客户端)能够与参与者控制的C2基础架构直接通信；文件下载和上载功能；以‘root’身份执行任意命令；以及将网络流量端口转发到网络上的其他主机。

尽管有深入的报告，但FBI和NSA没有详细说明恶意软件的初始攻击媒介是如何发生的。该报告也没有具体说明恶意软件已经运行了多长时间，或者有多少公司可能成为了目标-以及是否有任何攻击取得了成功。当局也没有具体说明恶意软件最初会感染受害者。它确实说，恶意软件背后的威胁行为者使用了“各种各样的专有和众所周知的技术来瞄准网络，并将他们的恶意软件持续存在于商业设备上。”

根据这份报告，值得注意的是，“Drovorub”这个名字是从Drovorub文件中发现的各种文物中提取出来的。联邦调查局和美国国家安全局表示，这是威胁行为者自己使用的名字，翻译过来的意思是“伐木工”或“劈柴”。

Drovorub指的是由四个独立组件组成的恶意软件套件，其中包括代理、客户端、服务器和内核模块。在受害者的计算机上部署时，首先安装Drovorub客户端，然后提供与参与者控制的命令与控制(C2)基础结构直接通信的功能。

一旦客户端与攻击者控制的服务器取得联系，它就会使用代理组件接收命令。这些命令可触发文件下载和上载功能、执行任意命令(如“root”)以及将网络通信量端口转发到网络上的其他主机。

此外，根据该建议，客户端还打包了一个内核模块，该模块提供基于rootkit的隐身功能，以隐藏客户端和内核模块。Rootkit是一组恶意软件，旨在实现对计算机的访问，其功能为恶意软件提供了额外的隐蔽层，以隐藏其在受感染设备上的植入。它通过隐藏特定的文件、模块和网络工件来做到这一点。Rootkit还具有持久性功能，允许恶意软件在重新启动时仍留在受感染的计算机上(除非UEFI安全启动在“完全”或“彻底”模式下启用)。

美国政府声称，恶意软件被用于未指明的网络间谍行动，这些行动与俄罗斯总参谋长主要情报局(GRU)第85个主要特别服务中心(GTsSS)有关。报告还援引了它认为该恶意软件与俄罗斯威胁组织Fancy Bear(也被称为AAPT28，锶和Sofacy)之间的联系。报告称，这一结论是在将Drovorub C2的运行基础设施与它所说的GTsSS运行网络基础设施联系起来之后得出的。

具体地说，2019年8月5日，微软安全响应中心公布了2019年4月与物联网设备利用相关的链接IP地址82[.]118.242[.]171到APT28基础设施的信息。美国国家安全局和联邦调查局表示，他们证实，2019年4月，同样的IP地址也被用来访问Drovorub C2 IP地址185.86.149.125。Threatpost已经联系微软请其进一步置评。

就安全研究人员而言，他们表示，恶意软件的功能可以让攻击者发动网络战，破坏公司-所有这些都与受害者没有地理上的接近。

ESET安全情报团队负责人Alexis Dorais-Joncas告诉Threatpost：“我们可以看到，Fancy Bear过去曾使用过他们自己的Linux恶意软件，最臭名昭著的案例是四到五年前他们的旗舰后门XAgent(也被称为Fysbis)的Linux版本，”ESET安全情报团队负责人亚历克西斯·多莱斯-琼卡斯(Alexis Dorais-Joncas)告诉Threatpost。

Allan Liska，Record Future的威胁情报分析师，在推特上说，他对这些攻击有多普遍感到好奇。

Vectra欧洲、中东和非洲地区主任马特·沃尔姆斯利(Matt Walmsley)通过电子邮件表示：“对‘Drovorub’的分析提醒人们，俄罗斯的攻击性网络能力仍处于顶级民族国家之列。”“很高兴看到美国国家安全局和联邦调查局的警报确定了‘Drovorub’使用的战术、技术和程序(TTP)，以对照MITRE ATT&；CK框架。这种映射为安全团队提供了实际帮助，这些团队需要快速验证他们的技术控制，并提高他们检测攻击行为各个阶段的能力，例如Drovorub对隐形指挥和控制技术的各种使用。“。

根据美国当局的说法，确实存在针对Drovorub的缓解措施-在“完全”或“彻底”模式下实施SecureBoot应该可以可靠地防止恶意内核模块(如Drovorub内核模块)加载。

“这将防止Drovorub能够在系统上隐藏自己。其他检测和缓解选项，如Snort和Yara规则，自然会有一个有限的生命周期，因为预计它们将是恶意软件未来版本中为避免检测而做出的第一个改变，“根据FBI和NSA的说法。“在做出改变之前，应该尽快使用它们。”

本文于8月14日上午10：45更新，以反映安全研究人员的进一步评论。

这是远程工作的时代，企业正面临新的更大的网络风险-无论是瞄准的协作平台，不断演变的内部威胁，还是锁定更广泛足迹的问题。通过我们与Forcepoint联合推出的免费Threatpost电子书，2020 in Security：来自新威胁环境的四个故事，了解如何应对这些新的网络安全现实。我们重新定义了在家工作世界中的“安全”，并提供了令人信服的现实世界最佳实践。单击此处立即下载我们的电子书。