Le FBI et la NSA révèlent un malware ciblant les appareils Linux et IOT

Le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) ont publié un rapport conjoint qui révèle un malware non signalé auparavant – «Drovorub». Les deux agences ont attribué le malware à APT28, un groupe qui est identifié comme Fancy Bear par la publication. Les rapports contiennent des informations sur la manière d’éviter d’être victime d’une infection à Drovorub.

Le malware Drovorub est un malware multi-composants. Il se compose d’un implant, d’un rootkit de module noyau, d’un outil de transfert de fichiers, d’un module de redirection de port et d’un serveur de commande et de contrôle (C2). Le logiciel malveillant peut exécuter diverses fonctions, notamment le vol de données et le contrôle de l’appareil à distance. En raison du rootkit avancé utilisé, le malware atteint un niveau élevé de furtivité et est très difficile à détecter.

Un rootkit permet aux menaces d’accéder à la racine de l’appareil en obtenant des privilèges d’accès et d’effectuer diverses tâches, notamment l’enregistrement de frappe, le vol de fichiers, la désactivation des produits antivirus et une foule d’autres opérations de groupes sponsorisés par l’État. En cas d’infection Drovorub, le rootkit permet à ce logiciel malveillant d’être chargé au démarrage, ce qui ajoute davantage de persistance dans le réseau infecté lorsque le logiciel malveillant survit à un redémarrage du système. De plus, le rootkit avancé permet au Fancy Bear d’infecter un large éventail de cibles et de mener des attaques à tout moment.

On peut supposer que le malware cible les organisations d’Amérique du Nord car il présente une multitude d’opportunités pour les pirates de toutes sortes. Cependant, le rapport des agences ne mentionne aucun objectif spécifique. Le rapport est de 45 pages au total fournit plusieurs détails importants. Le nom du malware n’est donné par aucune des deux agences. Ce nom est utilisé par Fancy Bear et peut être approximativement traduit par couper du bois de chauffage. L’attribution du malware à un ours fantaisie est possible pour les hackers en réutilisant les serveurs sur plusieurs campagnes dont une opération vue en train de distribuer drovorub.

 L’ours fantaisie cible les appareils IoT ou Internet des objets en général. Début 2019, Microsoft a révélé une campagne qui infectait les appareils iOT. La même année, une autre campagne ciblant les appareils IOt a été découverte. Cette dernière campagne a été révélée au mois d’août. Cependant, les chercheurs ont déclaré que l’activité de l’ours fantaisie pourrait être retracée jusqu’en avril, lorsque le groupe a tenté de compromettre plusieurs appareils iOT. À ce moment-là, le géant informatique de Redmond a déclaré:

«L’enquête a révélé qu’un acteur avait utilisé ces appareils pour obtenir un accès initial aux réseaux d’entreprise. Dans deux des cas, les mots de passe des appareils ont été déployés sans changer les mots de passe du fabricant par défaut et dans le troisième cas, la dernière mise à jour de sécurité n’avait pas été appliquée à l’appareil. Après avoir accédé à chacun des appareils IoT, l’acteur a exécuté tcpdump pour détecter le trafic réseau sur les sous-réseaux locaux. Ils ont également été vus en train de dénombrer des groupes administratifs pour tenter une nouvelle exploitation. Au fur et à mesure que l’acteur passait d’un appareil à un autre, il supprimait un simple script shell pour établir la persistance sur le réseau, ce qui permettait à un accès étendu de continuer à chasser. »

Selon les rapports soumis par les deux agences, Drovorub a été déployé. Le lien entre la campagne et le logiciel malveillant a été établi suite à la découverte que la même adresse IP a été utilisée que celle précédemment documentée par Microsoft. Les agences ont remarqué que:

«En plus de l’attribution de la NSA et du FBI au GTsSS, l’infrastructure opérationnelle de commande et de contrôle Drovorub a été associée à la cyber-infrastructure opérationnelle GTsSS connue du public. Par exemple, le 5 août 2019, Microsoft Security Response Center a publié des informations liant l’adresse IP 82.118.242.171 à l’infrastructure Strontium dans le cadre de l’exploitation des appareils de l’Internet des objets (IoT) en avril 2019 (Microsoft Security Response Center, 2019). (Microsoft, 2019) La NSA et le FBI ont confirmé que cette même adresse IP était également utilisée pour accéder à l’adresse IP du Drovorub C2 185.86.149.125 en avril 2019. »

Les rapports publiés fournissent des détails techniques plus détaillés sur le malware, notamment des conseils sur l’exécution de la volatilité, la détection du comportement de masquage de fichiers, des règles de reniflement et des règles Yara pour les administrateurs aux méthodes de détection appropriées et à la protection des réseaux.

En outre, la société de sécurité McAfee a publié un article de blog sur les mesures de sécurité et les recommandations pour rechercher les rootkits et renforcer la vulnérabilité des noyaux de Linux aux infections. Pour les mesures préventives, il est conseillé aux administrateurs de mettre à jour le noyau Linux vers la version 3.7 ou ultérieure. En outre, les administrateurs doivent configurer les systèmes de manière à ce que le système ne charge que les modules avec une signature numérique valide.

Drovorub cible les appareils Linux pour plusieurs raisons. Le principal est que Linux est une source ouverte et que de plus en plus de fabricants et de grandes entreprises adoptent du matériel exécutant Linux. Le malware cible les appareils iOT car Linux est devenu le système d’exploitation de choix pour les appareils IoT. Pour les développeurs, la nature open source de Linux est intéressante. Cela réduit les coûts et permet une transparence totale du système d’exploitation. Cela signifie que les développeurs ont accès à l’ensemble du système d’exploitation et peuvent développer de meilleurs produits logiciels. Cela attire à son tour les pirates qui peuvent maintenant trouver et exploiter des failles qui seraient auparavant négligées.