El FBI y la NSA revelan un malware dirigido a dispositivos Linux e IOT

La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) han emitido un informe conjunto que revela un malware no denunciado anteriormente: “Drovorub”. Las dos agencias atribuyeron el malware a APT28, un grupo al que la publicación rastrea como Fancy Bear. Los informes contienen información sobre cómo evitar ser víctima de la infección por Drovorub.

El malware Drovorub es un malware de varios componentes. Consiste en un implante, un rootkit del módulo del kernel, una herramienta de transferencia de archivos, un módulo de reenvío de puertos y un servidor de comando y control (C2). El malware puede realizar una variedad de funciones, incluido el robo de datos y el control del dispositivo de forma remota. Debido al avanzado rootkit utilizado, el malware alcanza un alto nivel de sigilo y es muy difícil de detectar.

Un rootkit permite que las amenazas logren acceso de root al dispositivo obteniendo privilegios de acceso a él y realizando una variedad de tareas que incluyen keylogging, robo de archivos, deshabilitar productos antivirus y una serie de otras operaciones de grupos patrocinados por el estado. En caso de infección por Drovorub, el rootkit permite que este malware se cargue al arrancar, lo que agrega persistencia en la red infectada mientras el malware sobrevive al reinicio del sistema. Además, el rootkit avanzado le permite a Fancy Bear infectar una amplia gama de objetivos y realizar ataques en cualquier momento.

Se puede suponer que el malware se dirige a organizaciones en América del Norte, ya que presentan una gran cantidad de oportunidades para los piratas informáticos de todo tipo. Sin embargo, el informe de las agencias no menciona ningún objetivo específico. El informe tiene un total de 45 páginas y proporciona varios detalles importantes. El nombre del malware no lo dan ninguna de las dos agencias. Este nombre es utilizado por Fancy Bear y se puede traducir aproximadamente como para cortar leña. Los piratas informáticos pueden atribuir el malware a un oso de fantasía al reutilizar los servidores en varias campañas, incluida una operación que distribuye drovorub.

 Fancy Bear se dirige a dispositivos de IoT o Internet de las cosas en general. A principios de 2019, Microsoft reveló una campaña que infectó dispositivos iOT. En el mismo año, se descubrió otra campaña dirigida a los dispositivos IOt. Esta última campaña se reveló en el mes de agosto. Sin embargo, dijeron los investigadores, Fancy Bear Activity podría rastrearse hasta abril, cuando el grupo intentó comprometer varios dispositivos iOT. En ese momento, el gigante de TI de Redmond declaró:

“La investigación descubrió que un actor había utilizado estos dispositivos para obtener acceso inicial a las redes corporativas. En dos de los casos, las contraseñas de los dispositivos se implementaron sin cambiar las contraseñas predeterminadas del fabricante y, en el tercer caso, no se aplicó la última actualización de seguridad al dispositivo. Después de obtener acceso a cada uno de los dispositivos de IoT, el actor ejecutó tcpdump para rastrear el tráfico de red en las subredes locales. También se les vio enumerando grupos administrativos para intentar una mayor explotación. A medida que el actor pasaba de un dispositivo a otro, soltaba un script de shell simple para establecer la persistencia en la red, lo que permitía un acceso extendido para continuar buscando “.

Según los informes presentados por las dos agencias, Drovorub fue desplegado. El vínculo entre la campaña y el malware se realizó tras el descubrimiento de que se utilizó la misma dirección IP que anteriormente había sido documentada por Microsoft. Las agencias notaron que:

“Además de la atribución de la NSA y el FBI a GTsSS, la infraestructura operativa de comando y control de Drovorub se ha asociado con la infraestructura cibernética operativa GTsSS públicamente conocida. Por ejemplo, el 5 de agosto de 2019, Microsoft Security Response Center publicó información que vinculaba la dirección IP 82.118.242.171 a la infraestructura de Strontium en relación con la explotación de dispositivos de Internet de las cosas (IoT) en abril de 2019 (Microsoft Security Response Center, 2019). (Microsoft, 2019) La NSA y el FBI han confirmado que esta misma dirección IP también se utilizó para acceder a la dirección IP 185.86.149.125 de Drovorub C2 en abril de 2019 “.

Los informes publicados brindan más detalles técnicos detallados sobre el malware que incluye orientación para ejecutar la volatilidad, sondeo del comportamiento de ocultación de archivos, reglas de snort y reglas de Yara para que los administradores desarrollen métodos de detección adecuados y protejan las redes.

Además, la firma de seguridad McAfee publicó un artículo de blog sobre medidas de seguridad y recomendaciones para escanear en busca de rootkits y fortalecer el kernal de Linux susceptible a infecciones. Para las medidas preventivas, se recomienda a los administradores que actualicen el kernel de Linux a la versión 3.7 o posterior. Además, los administradores deben configurar los sistemas de tal manera que el sistema solo cargue módulos con una firma digital válida.

Drovorub apunta a los dispositivos Linux por múltiples razones. El principal es que Linux es de código abierto y cada vez más fabricantes y grandes empresas adoptan hardware que ejecuta Linux. El malware se dirige a los dispositivos iOT porque Linux se ha convertido en el sistema operativo preferido para los dispositivos IoT. Para los desarrolladores, la naturaleza de código abierto de Linux es atractiva. Ahorra costes y permite una total transparencia del sistema operativo. Esto significa que los desarrolladores tienen acceso a todos los sistemas operativos y pueden desarrollar mejores productos de software. Esto a su vez atrae a los piratas informáticos que ahora pueden encontrar y explotar fallas que antes se pasaban por alto.