FBI e NSA rivelano un malware che prende di mira i dispositivi Linux e IOT
Il Federal Bureau of Investigation (FBI) e la National Security Agency (NSA) hanno pubblicato un rapporto congiunto che rivela un malware precedentemente non segnalato: “Drovorub”. Le due agenzie hanno attribuito il malware ad APT28, un gruppo che è rintracciato come Fancy Bear dalla pubblicazione. I rapporti contengono informazioni su come evitare di cadere vittima dell’infezione da Drovorub.
Il malware Drovorub è un malware multicomponente. Consiste in un impianto, un rootkit del modulo del kernel, uno strumento di trasferimento file, un modulo di port forwarding e un server di comando e controllo (C2). Il malware può eseguire diverse funzioni, tra cui il furto di dati e il controllo del dispositivo da remoto. A causa del rootkit avanzato utilizzato, il malware raggiunge un alto livello di invisibilità ed è molto difficile da rilevare.
Un rootkit consente alle minacce di ottenere l’accesso root al dispositivo ottenendo privilegi di accesso ed eseguendo una serie di attività tra cui keylogging, furto di file, disabilitazione di prodotti antivirus e una serie di altre operazioni da gruppi sponsorizzati dallo stato. In caso di infezione da Drovorub, il rootkit consente di caricare questo malware all’avvio, aggiungendo ulteriore persistenza nella rete infetta man mano che il malware sopravvive a un riavvio del sistema. Inoltre, il rootkit avanzato consente a Fancy Bear di infettare una vasta gamma di bersagli e di condurre attacchi in qualsiasi momento.
Si può presumere che il malware prenda di mira le organizzazioni del Nord America in quanto offrono una vasta gamma di opportunità agli hacker di ogni tipo. Tuttavia, la relazione delle agenzie non menziona obiettivi specifici. Il rapporto è di 45 pagine totali e fornisce diversi dettagli importanti. Il nome del malware non è dato da nessuna delle due agenzie. Questo nome è usato da Fancy Bear e può essere tradotto approssimativamente come per tagliare la legna da ardere. L’attribuzione del malware a orso di fantasia è possibile per gli hacker riutilizzando i server in diverse campagne, inclusa un’operazione vista la distribuzione di drovorub.
Fancy Bear prende di mira i dispositivi IoT o Internet of Things in generale. All’inizio del 2019, Microsoft ha rivelato una campagna che infettava i dispositivi iOT. Nello stesso anno è stata scoperta un’altra campagna rivolta ai dispositivi IOt. L’ultima campagna è stata rivelata nel mese di agosto. Tuttavia, hanno affermato i ricercatori, Fancy Bear Activity potrebbe essere rintracciata ad aprile, quando il gruppo ha tentato di compromettere più dispositivi iOT. A quel tempo, il gigante IT di Redmond ha dichiarato:
“L’indagine ha scoperto che un attore aveva utilizzato questi dispositivi per ottenere l’accesso iniziale alle reti aziendali. In due dei casi, le password per i dispositivi sono state distribuite senza modificare le password predefinite del produttore e nella terza istanza l’ultimo aggiornamento di sicurezza non era stato applicato al dispositivo. Dopo aver ottenuto l’accesso a ciascuno dei dispositivi IoT, l’attore ha eseguito tcpdump per rilevare il traffico di rete nelle sottoreti locali. Sono stati anche visti enumerare gruppi amministrativi per tentare un ulteriore sfruttamento. Quando l’attore si spostava da un dispositivo all’altro, rilasciava un semplice script di shell per stabilire la persistenza sulla rete che consentiva un accesso esteso per continuare la caccia “.
Secondo i rapporti presentati dalle due agenzie, Drovorub è stato schierato. Il collegamento tra la campagna e il malware è stato realizzato in seguito alla scoperta che è stato utilizzato lo stesso indirizzo IP precedentemente documentato da Microsoft. Le agenzie hanno notato che:
“Oltre all’attribuzione di NSA e FBI a GTsSS, l’infrastruttura operativa di comando e controllo Drovorub è stata associata a un’infrastruttura informatica operativa GTsSS di pubblico dominio. Ad esempio, il 5 agosto 2019, il Microsoft Security Response Center ha pubblicato informazioni che collegano l’indirizzo IP 82.118.242.171 all’infrastruttura di Strontium in connessione con lo sfruttamento dei dispositivi Internet of Things (IoT) nell’aprile 2019. (Microsoft Security Response Center, 2019) (Microsoft, 2019) NSA e FBI hanno confermato che questo stesso indirizzo IP è stato utilizzato anche per accedere all’indirizzo IP Drovorub C2 185.86.149.125 nell’aprile 2019. “
I rapporti pubblicati forniscono ulteriori dettagli tecnici dettagliati relativi al malware che includono indicazioni per l’esecuzione della volatilità, sondaggio per il comportamento di occultamento dei file, regole di snort e regole Yara per gli amministratori, metodi di rilevamento appropriati per gli sviluppatori e protezione delle reti.
Inoltre, la società di sicurezza McAfee ha pubblicato un articolo sul blog per misure di sicurezza e consigli per la scansione alla ricerca di rootkit e per rafforzare la suscettibilità alle infezioni di Kernal di Linux. Per le misure preventive, si consiglia agli amministratori di aggiornare il kernel Linux alla versione 3.7 o successiva. Inoltre, gli amministratori dovrebbero configurare i sistemi in modo tale che il sistema carichi solo i moduli con una firma digitale valida.
Drovorub prende di mira i dispositivi Linux per diversi motivi. Il principale è che Linux è un open source e sempre più produttori e grandi aziende adottano hardware che eseguono Linux. Il malware prende di mira i dispositivi iOT perché Linux è diventato il sistema operativo preferito dai dispositivi IoT. Per gli sviluppatori, la natura open source di Linux è interessante. Risparmia sui costi e consente la completa trasparenza del sistema operativo. Ciò significa che gli sviluppatori hanno accesso all’intero sistema operativo e possono sviluppare prodotti software migliori. Questo a sua volta attira gli hacker che ora possono trovare e sfruttare difetti che in precedenza sarebbero stati trascurati.
