FBIとNSAがLinuxおよびIOTデバイスを標的としたマルウェアを明らかに

連邦捜査局(FBI)と国家安全保障局(NSA)は、これまでに報告されていないマルウェア「Drovorub」を明らかにする共同レポートを発行しました。 2つの機関は、マルウェアがAPT28であると報告しました。APT28は、出版物によってFancy Bearとして追跡されています。レポートには、Drovorub感染の犠牲者を防ぐ方法に関する情報が含まれています。

Drovorubマルウェアはマルチコンポーネントマルウェアです。インプラント、カーネルモジュールルートキット、ファイル転送ツール、ポート転送モジュール、コマンドアンドコントロール(C2)サーバーで構成されています。このマルウェアは、データを盗んだり、リモートからデバイスを制御したりするなど、さまざまな機能を実行できます。高度なルートキットが使用されているため、マルウェアは高レベルのステルスを実現し、検出が非常に困難です。

ルートキットを使用すると、脅威はデバイスへのアクセス権を取得することでデバイスへのルートアクセスを実現し、キーロギング、ファイルの盗難、ウイルス対策製品の無効化、州が後援するグループによるその他の操作など、さまざまなタスクを実行できます。 Drovorub感染の場合、ルートキットにより、起動時にこのマルウェアがロードされ、マルウェアがシステムの再起動後も存続するため、感染したネットワークに永続性が追加されます。さらに、高度なルートキットにより、Fancy Bearは広範囲のターゲットに感染するだけでなく、いつでも攻撃を行うことができます。

マルウェアは、あらゆる種類のハッカーに豊富な機会を提供する北米の組織を標的にしていると考えられます。ただし、政府機関のレポートでは具体的な目標については言及されていません。レポートは合計45ページで、いくつかの重要な詳細が記載されています。マルウェアの名前はどちらの機関からも与えられていません。この名前はFancy Bearによって使用され、薪を切るために大まかに翻訳できます。ハッカーは、drovorubの配布で見られる1つの操作を含む複数のキャンペーンでサーバーを再利用することにより、ファンシーベアへのマルウェアの帰属が可能です。

 ファンシーベアは、一般的にIoTまたはモノのインターネットデバイスを対象としています。 2019年の初めに、MicrosoftはiOTデバイスを感染させるキャンペーンを明らかにしました。同じ年に、IOtデバイスを対象とした別のキャンペーンが発見されました。後者のキャンペーンは、8月に明らかにされました。しかし、研究者たちは、ファンシーベアの活動は、グループが複数のiOTデバイスに危害を加えようとした4月までさかのぼることができると述べた。当時、レドモンドのIT大手は次のように述べています。

「調査により、俳優がこれらのデバイスを使用して企業ネットワークへの最初のアクセスを取得したことが明らかになりました。 2つのケースでは、デバイスのパスワードはデフォルトの製造元のパスワードを変更せずに展開され、3番目のインスタンスでは最新のセキュリティ更新がデバイスに適用されていませんでした。各IoTデバイスへのアクセスを取得した後、アクターはtcpdumpを実行してローカルサブネット上のネットワークトラフィックを盗聴しました。彼らはまた、さらなる搾取を試みるために行政グループを列挙しているのを見られました。アクターがあるデバイスから別のデバイスに移動すると、単純なシェルスクリプトをドロップしてネットワーク上に永続性を確立し、拡張アクセスを可能にして狩猟を続行しました。」

2つの機関による提出レポートによると、Drovorubが配備されました。キャンペーンとマルウェアの間のリンクは、以前にMicrosoftによって文書化されたものと同じIPアドレスが使用されていたことが発見された後に行われました。当局は以下に気づいた:

「NSsおよびFBIのGTsSSへの帰属に加えて、運用Drovorubコマンドおよび制御インフラストラクチャは、既知のGTsSS運用サイバーインフラストラクチャに関連付けられています。一例として、2019年8月5日に、Microsoft Security Response Centerは、2019年4月にモノのインターネット(IoT)デバイスの悪用に関連してIPアドレス82.118.242.171をStrontiumインフラストラクチャにリンクする情報を公開しました。(Microsoft Security Response Center、2019) (Microsoft、2019)NSAとFBIは、この同じIPアドレスが、2019年4月にDrovorub C2 IPアドレス185.86.149.125へのアクセスにも使用されたことを確認しました。」

公開されたレポートは、ボラティリティの実行に関するガイダンス、ファイル非表示動作のプロービング、Snortルール、および管理者が適切な検出方法を開発してネットワークを保護するためのYaraルールを含む、マルウェアに関するさらに詳細な技術詳細を提供します。

また、セキュリティ会社のマカフィーは、ルートキットをスキャンしてLinuxカーネルを感染しやすくするためのセキュリティ対策と推奨事項についてブログ記事を公開しました。予防策として、管理者はLinuxカーネルをバージョン3.7以降に更新することをお勧めします。さらに、管理者は、システムが有効なデジタル署名を持つモジュールのみをロードするようにシステムを構成する必要があります。

Drovorubは、さまざまな理由でLinuxデバイスをターゲットにしています。主なものは、Linuxがオープンソースであり、ますます多くのメーカーや大企業がLinuxを実行するハードウェアを採用していることです。 LinuxがIoTデバイスに最適なOSとなったため、マルウェアはiOTデバイスをターゲットにしています。開発者にとって、Linuxのオープンソースの性質は魅力的です。コストを節約し、OSの完全な透過性を実現します。つまり、開発者はOs全体にアクセスでき、より優れたソフトウェア製品を開発できます。これは今度は以前は見過ごされていた欠陥を見つけて悪用できるハッカーを引き付けます。