FBI e NSA revelam um malware direcionado a dispositivos Linux e IOT

O Federal Bureau of Investigation (FBI) e a National Security Agency (NSA) publicaram um relatório conjunto que revela um malware não relatado anteriormente – “Drovorub”. As duas agências atribuíram o malware ao APT28, um grupo rastreado como Fancy Bear pela publicação. Os relatórios contêm informações sobre como evitar ser vítima de infecção por Drovorub.

O malware Drovorub é um malware de múltiplos componentes. Ele consiste em um implante, um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos, um módulo de encaminhamento de porta e um servidor de comando e controle (C2). O malware pode executar uma variedade de funções, incluindo roubo de dados e controle remoto do dispositivo. Devido ao rootkit avançado usado, o malware atinge um alto nível de furtividade e é muito difícil de detectar.

Um rootkit permite que ameaças obtenham acesso root ao dispositivo obtendo privilégios de acesso a ele e realizando uma variedade de tarefas, incluindo keylogging, furto de arquivos, desabilitar produtos antivírus e uma série de outras operações de grupos patrocinados pelo estado. No caso de infecção por Drovorub, o rootkit permite que esse malware seja carregado na inicialização, o que adiciona ainda mais persistência na rede infectada, conforme o malware sobrevive a uma reinicialização do sistema. Além disso, o rootkit avançado permite que o Fancy Bear infecte uma ampla gama de alvos, bem como conduza ataques a qualquer momento.

Pode-se presumir que o malware tem como alvo organizações na América do Norte, uma vez que apresenta uma grande variedade de oportunidades para hackers de todos os tipos. No entanto, o relatório das agências não menciona metas específicas. O relatório tem um total de 45 páginas e fornece vários detalhes importantes. O nome do malware não é fornecido por nenhuma das duas agências. Este nome é usado por Fancy Bear e pode ser traduzido aproximadamente como cortar lenha. A atribuição do malware ao urso fantasioso é possível para os hackers reutilizando servidores em várias campanhas, incluindo uma operação vista distribuindo drovorub.

 O Fancy Bear visa dispositivos IoT ou Internet das Coisas em geral. No início de 2019, a Microsoft revelou uma campanha que infectou dispositivos iOT. No mesmo ano, outra campanha foi descoberta visando os dispositivos IOt. A última campanha foi revelada no mês de agosto. No entanto, disseram os pesquisadores, a atividade do Fancy Bear pode ser rastreada até abril, quando o grupo tentou comprometer vários dispositivos iOT. Naquela época, a gigante de TI de Redmond declarou:

“A investigação descobriu que um ator havia usado esses dispositivos para obter acesso inicial às redes corporativas. Em dois dos casos, as senhas dos dispositivos foram implantadas sem alterar as senhas padrão do fabricante e, na terceira instância, a atualização de segurança mais recente não foi aplicada ao dispositivo. Depois de obter acesso a cada um dos dispositivos IoT, o ator executou tcpdump para farejar o tráfego de rede em sub-redes locais. Eles também foram vistos enumerando grupos administrativos para tentar uma maior exploração. Conforme o ator mudava de um dispositivo para outro, eles largavam um script de shell simples para estabelecer persistência na rede, o que permitia acesso estendido para continuar a caça ”.

De acordo com os relatórios apresentados pelas duas agências, Drovorub foi implantado. A ligação entre a campanha e o malware foi feita após a descoberta de que foi usado o mesmo endereço IP que foi previamente documentado pela Microsoft. As agências perceberam que:

“Além da atribuição da NSA e do FBI ao GTsSS, a infraestrutura operacional de comando e controle Drovorub foi associada à infraestrutura cibernética operacional GTsSS publicamente conhecida. Por exemplo, em 5 de agosto de 2019, o Microsoft Security Response Center publicou informações vinculando o endereço IP 82.118.242.171 à infraestrutura Strontium em conexão com a exploração de dispositivos da Internet das coisas (IoT) em abril de 2019. (Microsoft Security Response Center, 2019) (Microsoft, 2019) A NSA e o FBI confirmaram que esse mesmo endereço IP também foi usado para acessar o endereço IP 185.86.149.125 do Drovorub C2 em abril de 2019. ”

Os relatórios publicados fornecem mais detalhes técnicos detalhados sobre o malware que inclui orientação para executar volatilidade, sondagem de comportamento de ocultação de arquivo, regras de snort e regras de Yara para administradores para desenvolver métodos de detecção adequados e proteger redes.

Além disso, a empresa de segurança McAfee publicou um artigo de blog com medidas de segurança e recomendações para a varredura de rootkits e fortalecimento do kernel do Linux suscetível a infecção. Para medidas preventivas, os administradores são aconselhados a atualizar o kernel do Linux para a versão 3.7 ou posterior. Além disso, os administradores devem configurar os sistemas de forma que o sistema carregue apenas módulos com uma assinatura digital válida.

Drovorub visa dispositivos Linux por vários motivos. A principal delas é que o Linux é de código aberto e cada vez mais fabricantes e grandes empresas adotam hardware rodando Linux. O malware tem como alvo dispositivos iOT porque o Linux has se tornou o sistema operacional de escolha para dispositivos IoT. Para desenvolvedores, a natureza de código aberto do Linux é atraente. Ele economiza custos e permite total transparência do sistema operacional. Isso significa que os desenvolvedores têm acesso a todo o SO e podem desenvolver melhores produtos de software. Isso, por sua vez, atrai os hackers que agora podem encontrar e explorar falhas que antes eram ignoradas.